Pažeidę „GitHub Actions“ išleidimo procesą „Red Hat“ „RedHatInsights“ saugyklose, užpuolikai galėjo NPM kataloge paskelbti 64 kenkėjiškas 32 NPM paketų versijas, skirtas „Red Hat Cloud Services“ platformai. Buvo išleistos dvi kenkėjiškos kiekvieno pažeisto NPM paketo versijos, kurių kiekvienoje buvo kodas, aktyvuojantis naują „mini-shai-hulud“ kirmino variantą, kuris dabartinėje aplinkoje ieško žetonų ir prisijungimo duomenų.
Kirminas buvo patalpintas faile index.js ir aktyvuotas per išankstinio diegimo tvarkyklę, iškviečiamą diegiant užkrėstą paketą. Aktyvuotas kirminas sistemoje ieškojo NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp ir KubernetesK8s žetonų, taip pat SSH privačių raktų. Rasti duomenys buvo išsiųsti užpuolikams. Jei buvo rastas NPM žetonas, kirminas automatiškai publikuodavo naujas kenkėjiškas versijas paketams, kuriamiems dabartinėje aplinkoje, užkrėsdamas priklausomybių medį.
Prieiga prie „GitHub Actions“ buvo gauta įsilaužus į „Red Hat“ darbuotojo paskyrą, kuri leido užpuolikams tiesiogiai įkelti pakeitimus į „javascript-clients“, „frontend-components“ ir „platform-frontend-ai-toolkit“ saugyklas be peržiūros proceso. Šie pakeitimai įterpė ci.yaml failą į nuolatinės integracijos sistemą, kuri, vykdant kompiliavimą, vykdė _index.js scenarijų, naudodama „bun“ platformą. Scenarijus naudojo „id-token: write“ leidimą, kad iš „GitHub“ paprašytų OIDC („OpenID Connect“) prieigos rakto, kuris vėliau buvo naudojamas autentifikavimui su NPM per „patikimo publikavimo“ mechanizmą.
NPM paketai, kuriuose yra kenkėjiško kodo:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- „@redhat-cloud-services/frontend-components-notifications“ (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/front-end-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)
Šaltinis: opennet.ru
