Red Hat компаниясының RedHatInsights репозиторийлеріндегі GitHub Actions шығарылым процесін бұзу арқылы шабуылдаушылар Red Hat Cloud Services платформасына арналған 32 NPM пакетінің 64 зиянды нұсқасын NPM каталогына жариялай алды. Әрбір бұзылған NPM пакетінің екі зиянды нұсқасы шығарылды, олардың әрқайсысында ағымдағы ортада токендер мен тіркелгі деректерін іздейтін mini-shai-hulud құртының жаңа нұсқасын белсендіретін код болды.
Құрт index.js файлына орналастырылып, зарарланған пакетті орнатқан кезде шақырылатын preinstall өңдегіші арқылы белсендірілді. Белсендірілгеннен кейін, құрт жүйеде NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp және KubernetesK8s токендерін, сондай-ақ SSH жеке кілттерін іздеді. Табылған деректер шабуылдаушыларға жіберілді. Егер NPM токені табылса, құрт ағымдағы ортада әзірленіп жатқан пакеттер үшін автоматты түрде жаңа зиянды нұсқаларды жариялап, тәуелділік ағашын жұқтырды.
GitHub әрекеттеріне қол жеткізу Red Hat қызметкерінің тіркелгісін бұзу арқылы алынды, бұл шабуылдаушыларға қарау процесінен өтпей-ақ javascript-clients, frontend-components және platform-frontend-ai-toolkit репозиторийлеріне тікелей коммиттерді жіберуге мүмкіндік берді. Бұл коммиттер үздіксіз интеграция жүйесіне ci.yaml файлын енгізді, ол құрастыруды іске қосқан кезде _index.js скриптін bun платформасын пайдаланып орындады. Скрипт GitHub-тан OIDC (OpenID Connect) токенін сұрау үшін "id-token: write" рұқсатын пайдаланды, содан кейін ол "сенімді жариялау" механизмі арқылы NPM арқылы аутентификация үшін пайдаланылды.
Зиянды кодты қамтитын NPM пакеттері:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/хабарландырулар-клиент (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-клиент (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/түрлері (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/osalabilities-client (2.1.8, 2.1.9)
Ақпарат көзі: opennet.ru
