Со компромитирање на процесот на објавување на GitHub Actions во складиштата RedHatInsights на Red Hat, напаѓачите беа во можност да објават 64 малициозни верзии од 32 NPM пакети за платформата Red Hat Cloud Services во директориумот NPM. Објавени беа две малициозни верзии од секој компромитиран NPM пакет, секоја содржејќи код што активираше нова варијанта на црвот mini-shai-hulud, кој пребарува токени и акредитиви во тековната околина.
Црвот беше сместен во датотеката index.js и активиран преку обработувач за претходна инсталација повикан при инсталирање на заразен пакет. Откако ќе се активираше, црвот го пребаруваше системот за токени до NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp и KubernetesK8s, како и SSH приватни клучеви. Податоците што ги пронајде беа испратени до напаѓачите. Доколку се пронајдеше NPM токен, црвот автоматски објавуваше нови злонамерни изданија за пакетите што се развиваат во тековната околина, инфицирајќи го дрвото на зависности.
Пристапот до GitHub Actions беше добиен со компромитирање на сметката на вработен во Red Hat, дозволувајќи им на напаѓачите директно да испраќаат комити до репозиториумите javascript-clients, frontend-components и platform-frontend-ai-toolkit без да поминат низ процесот на преглед. Овие комити вметнаа датотека ci.yaml во системот за континуирана интеграција, кој, при извршување на градба, ја изврши скриптата _index.js користејќи ја платформата bun. Скриптата ја користеше дозволата „id-token: write“ за да побара токен OIDC (OpenID Connect) од GitHub, кој потоа беше користен за автентикација со NPM преку механизмот за „доверливо објавување“.
NPM пакети што содржат малициозен код:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/frontend-компоненти (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- @redhat-cloud-services/frontend-components-известувања (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/ranabilities-client (2.1.8, 2.1.9)
Извор: opennet.ru
