တိုက်ခိုက်သူများသည် Red Hat NPM package ၃၂ ခုထဲသို့ malware ထည့်သွင်းခဲ့ကြသည်။

Red Hat ရဲ့ RedHatInsights repositories မှာရှိတဲ့ GitHub Actions release process ကို ထိခိုက်ပျက်စီးစေခြင်းအားဖြင့် တိုက်ခိုက်သူများသည် Red Hat Cloud Services platform အတွက် NPM package ၃၂ ခုရဲ့ malicious version ၆၄ ခုကို NPM directory မှာ ထုတ်ဝေနိုင်ခဲ့ပါတယ်။ ထိခိုက်ပျက်စီးစေခဲ့တဲ့ NPM package တစ်ခုစီရဲ့ malicious version နှစ်ခုကို ထုတ်ပြန်ခဲ့ပြီး၊ အဲဒီ code တစ်ခုချင်းစီမှာ mini-shai-hulud worm ရဲ့ မျိုးကွဲအသစ်တစ်ခုကို အသက်သွင်းပေးတဲ့ code ပါဝင်ပြီး လက်ရှိ environment မှာ token တွေနဲ့ credential တွေကို ရှာဖွေပါတယ်။

worm ကို index.js ဖိုင်ထဲမှာထည့်ပြီး ကူးစက်ခံထားရတဲ့ package တစ်ခုကို install လုပ်တဲ့အခါ preinstall handler လို့ခေါ်တဲ့ နည်းနဲ့ activate လုပ်ပါတယ်။ activated လုပ်ပြီးတာနဲ့ worm ဟာ NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp နဲ့ KubernetesK8s တွေရဲ့ token တွေအပြင် SSH private key တွေကို system ထဲမှာ ရှာဖွေပါတယ်။ တွေ့ရှိခဲ့တဲ့ data ကို attacker တွေဆီ ပေးပို့ခဲ့ပါတယ်။ NPM token တစ်ခုကို တွေ့ရှိခဲ့ရင် worm ဟာ လက်ရှိ environment မှာ develop လုပ်နေတဲ့ package တွေအတွက် malicious release အသစ်တွေကို အလိုအလျောက်ထုတ်ပြန်ပြီး dependency tree ကို ကူးစက်ပါတယ်။

Red Hat ဝန်ထမ်းတစ်ဦး၏ အကောင့်ကို တိုက်ခိုက်ခြင်းဖြင့် GitHub Actions သို့ ဝင်ရောက်ခွင့် ရရှိခဲ့ပြီး တိုက်ခိုက်သူများသည် review လုပ်ငန်းစဉ်ကို မဖြတ်သန်းဘဲ javascript-clients၊ frontend-components နှင့် platform-frontend-ai-toolkit repositories များသို့ commit များကို တိုက်ရိုက် push လုပ်နိုင်သည်။ ဤ commit များသည် ci.yaml ဖိုင်ကို continuous integration system ထဲသို့ ထည့်သွင်းခဲ့ပြီး build တစ်ခုကို run သောအခါ bun platform ကို အသုံးပြု၍ _index.js script ကို execute လုပ်ခဲ့သည်။ script သည် GitHub မှ OIDC (OpenID Connect) token ကို တောင်းဆိုရန် "id-token: write" permission ကို အသုံးပြုခဲ့ပြီး ၎င်းကို "trusted publishing" mechanism မှတစ်ဆင့် NPM နှင့် authentication အတွက် အသုံးပြုခဲ့သည်။

malicious code ပါဝင်တဲ့ NPM package များ-

• @redhat-cloud-services/chrome (၂.၃.၁၊ ၂.၃.၂)
• @redhat-cloud-services/compliance-client (၄.၀.၃၊ ၄.၀.၄)
• @redhat-cloud-services/config-manager-client (၅.၀.၄၊ ၅.၀.၅)
• @redhat-cloud-services/entitlements-client (၄.၀.၁၁၊ ၄.၀.၁၂)
• @redhat-cloud-services/eslint-config-redhat-cloud-services (၃.၂.၁၊ ၃.၂.၂)
• @redhat-cloud-services/frontend-components (၇.၇.၂၊ ၇.၇.၃)
• @redhat-cloud-services/frontend-components-advisor-components (၃.၈.၂)
• @redhat-cloud-services/frontend-components-config (၆.၁၁.၃၊ ၆.၁၁.၄)
• @redhat-cloud-services/frontend-components-config-utilities (၄.၁၁.၂၊ ၄.၁၁.၃)
• @redhat-cloud-services/frontend-components-notifications (၆.၉.၂၊ ၆.၉.၃)
• @redhat-cloud-services/frontend-components-remediations (၄.၉.၂၊ ၄.၉.၃)
• @redhat-cloud-services/frontend-components-testing (၁.၂.၁၊ ၁.၂.၂)
• @redhat-cloud-services/frontend-components-translations (၄.၄.၁၊ ၄.၄.၂)
• @redhat-cloud-services/frontend-components-utilities (၇.၄.၁၊ ၇.၄.၂)
• @redhat-cloud-services/hcc-feo-mcp (၀.၃.၁၊ ၀.၃.၂)
• @redhat-cloud-services/hcc-kessel-mcp (၀.၃.၁၊ ၀.၃.၂)
• @redhat-cloud-services/hcc-pf-mcp (၀.၆.၁၊ ၀.၆.၂)
• @redhat-cloud-services/host-inventory-client (၅.၀.၃၊ ၅.၀.၄)
• @redhat-cloud-services/insights-client (၄.၀.၄၊ ၄.၀.၅)
• @redhat-cloud-services/integrations-client (၆.၀.၄၊ ၆.၀.၅)
• @redhat-cloud-services/javascript-clients-shared (၂.၀.၈၊ ၂.၀.၉)
• @redhat-cloud-services/notifications-client (၆.၁.၄၊ ၆.၁.၅)
• @redhat-cloud-services/patch-client (၄.၀.၄၊ ၄.၀.၅)
• @redhat-cloud-services/quickstarts-client (၄.၀.၁၁၊ ၄.၀.၁၂)
• @redhat-cloud-services/rbac-client (၉.၀.၃၊ ၉.၀.၄)
• @redhat-cloud-services/remediations-client (၄.၀.၄၊ ၄.၀.၅)
• @redhat-cloud-services/rule-components (၄.၇.၂၊ ၄.၇.၃)
• @redhat-cloud-services/sources-client (၃.၀.၁၀၊ ၃.၀.၁၁)
• @redhat-cloud-services/topological-inventory-client (၃.၀.၁၀၊ ၃.၀.၁၁)
• @redhat-cloud-services/tsc-transform-imports (၁.၂.၂)
• @redhat-cloud-services/အမျိုးအစားများ (၃.၆.၁၊ ၃.၆.၂၊ ၃.၆.၄)
• @redhat-cloud-services/vulnerabilities-client (၂.၁.၈၊ ၂.၁.၉)

source: opennet.ru