Red Hat-ın RedHatInsights depolarında GitHub Actions buraxılış prosesini pozmaqla, təcavüzkarlar Red Hat Cloud Services platforması üçün 32 NPM paketinin 64 zərərli versiyasını NPM qovluğuna dərc edə bildilər. Hər bir zədələnmiş NPM paketinin iki zərərli versiyası buraxıldı və hər biri mövcud mühitdə tokenlər və etimadnamələr axtaran mini-shai-hulud qurdunun yeni bir variantını aktivləşdirən kod ehtiva edirdi.
Qurd index.js faylına yerləşdirilib və yoluxmuş paketi quraşdırarkən çağırılan preinstall işleyicisi vasitəsilə aktivləşdirilib. Aktivləşdirildikdən sonra qurd sistemdə NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp və KubernetesK8s üçün tokenləri, eləcə də SSH şəxsi açarlarını axtarıb. Tapdığı məlumatlar hücum edənlərə göndərilib. NPM tokeni tapılarsa, qurd avtomatik olaraq mövcud mühitdə hazırlanan paketlər üçün yeni zərərli buraxılışlar dərc edərək asılılıq ağacını yoluxdurub.
GitHub Actions-a giriş Red Hat işçisinin hesabını ələ keçirməklə əldə edilib və bu, təcavüzkarlara nəzərdən keçirmə prosesindən keçmədən birbaşa javascript-clients, frontend-components və platform-frontend-ai-toolkit depolarına commit-ləri göndərməyə imkan verib. Bu commit-lər davamlı inteqrasiya sisteminə ci.yaml faylı daxil edib və sistem build işlədərkən bun platformasından istifadə edərək _index.js skriptini icra edib. Skript GitHub-dan OIDC (OpenID Connect) tokenini tələb etmək üçün "id-token: write" icazəsindən istifadə edib və bu token daha sonra "etibarlı nəşr" mexanizmi vasitəsilə NPM ilə identifikasiya üçün istifadə edilib.
Zərərli kod ehtiva edən NPM paketləri:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventar-müştəri (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/inteqrasiyalar-müştəri (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/qayda-komponentləri (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/topoloji-inventar-müştəri (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/növləri (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)
Mənbə: opennet.ru
