Billi kkompromettew il-proċess ta' rilaxx tal-GitHub Actions fir-repożitorji RedHatInsights ta' Red Hat, l-attakkanti setgħu jippubblikaw 64 verżjoni malizzjuża ta' 32 pakkett NPM għall-pjattaforma Red Hat Cloud Services fid-direttorju NPM. Ġew rilaxxati żewġ verżjonijiet malizzjużi ta' kull pakkett NPM kompromess, kull waħda fiha kodiċi li attiva varjant ġdid tad-dudu mini-shai-hulud, li jfittex tokens u kredenzjali fl-ambjent attwali.
Id-dudu tqiegħed fil-fajl index.js u ġie attivat permezz ta' handler ta' preinstall imsejjaħ meta ġie installat pakkett infettat. Ladarba ġie attivat, id-dudu fittex fis-sistema għal tokens għal NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp, u KubernetesK8s, kif ukoll ċwievet privati SSH. Id-dejta li sab intbagħtet lill-attakkanti. Jekk instab token NPM, id-dudu awtomatikament ippubblika rilaxxi malizzjużi ġodda għal pakketti li qed jiġu żviluppati fl-ambjent attwali, u infetta s-siġra tad-dipendenza.
L-aċċess għall-Azzjonijiet ta' GitHub inkiseb billi ġie kompromess il-kont ta' impjegat ta' Red Hat, li ppermetta lill-attakkanti jimbuttaw direttament il-commits lir-repożitorji ta' javascript-clients, frontend-components, u platform-frontend-ai-toolkit mingħajr ma jgħaddu mill-proċess ta' reviżjoni. Dawn il-commits daħħlu fajl ci.yaml fis-sistema ta' integrazzjoni kontinwa, li, meta kienet tħaddem build, eżegwiet l-iskritt _index.js bl-użu tal-pjattaforma bun. L-iskritt uża l-permess "id-token: write" biex jitlob token OIDC (OpenID Connect) minn GitHub, li mbagħad intuża għall-awtentikazzjoni ma' NPM permezz tal-mekkaniżmu ta' "pubblikazzjoni fdata".
Pakketti NPM li fihom kodiċi malizzjuż:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventary-client (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/topological-inventary-client (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)
Sors: opennet.ru
