ProHoster > Log > Internett-nyheter > Angripere innebygde skadelig programvare i 32 Red Hat NPM-pakker.

Angripere innebygde skadelig programvare i 32 Red Hat NPM-pakker.

Ved å kompromittere GitHub Actions-utgivelsesprosessen i Red Hats RedHatInsights-repositorier, kunne angripere publisere 64 ondsinnede versjoner av 32 NPM-pakker for Red Hat Cloud Services-plattformen til NPM-katalogen. To ondsinnede versjoner av hver kompromitterte NPM-pakke ble utgitt, hver med kode som aktiverte en ny variant av mini-shai-hulud-ormen, som søker etter tokens og legitimasjon i det gjeldende miljøet.

Ormen ble plassert i index.js-filen og aktivert via en preinstall-håndterer som ble kalt når en infisert pakke ble installert. Etter aktivering søkte ormen i systemet etter tokens til NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp og KubernetesK8s, samt private SSH-nøkler. Dataene den fant ble sendt til angriperne. Hvis et NPM-token ble funnet, publiserte ormen automatisk nye skadelige utgivelser for pakker som ble utviklet i det gjeldende miljøet, og infiserte dermed avhengighetstreet.

Tilgang til GitHub Actions ble oppnådd ved å kompromittere kontoen til en Red Hat-ansatt, slik at angriperne kunne sende commits direkte til javascript-clients, frontend-components og platform-frontend-ai-toolkit-repositoriene uten å gå gjennom gjennomgangsprosessen. Disse commitsene satte inn en ci.yaml-fil i det kontinuerlige integrasjonssystemet, som, når det kjørte en build, kjørte _index.js-skriptet ved hjelp av bun-plattformen. Skriptet brukte tillatelsen "id-token: write" til å be om et OIDC (OpenID Connect)-token fra GitHub, som deretter ble brukt til autentisering med NPM via mekanismen "trusted publishing".

NPM-pakker som inneholder skadelig kode:

  • @redhat-cloud-services/chrome (2.3.1, 2.3.2)
  • @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
  • @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
  • @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
  • @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
  • @redhat-cloud-services/frontend-komponenter (7.7.2, 7.7.3)
  • @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
  • @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
  • @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
  • @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
  • @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
  • @redhat-cloud-services/testing av frontend-komponenter (1.2.1, 1.2.2)
  • @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
  • @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
  • @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
  • @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
  • @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
  • @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
  • @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/integrasjonsklient (6.0.4, 6.0.5)
  • @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
  • @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
  • @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
  • @redhat-cloud-services/rbac-klient (9.0.3, 9.0.4)
  • @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/regelkomponenter (4.7.2, 4.7.3)
  • @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
  • @redhat-cloud-services/topologisk-inventar-klient (3.0.10, 3.0.11)
  • @redhat-cloud-services/tsc-transform-imports (1.2.2)
  • @redhat-cloud-services/typer (3.6.1, 3.6.2, 3.6.4)
  • @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)

Kilde: opennet.ru

Kjøp pålitelig hosting for nettsteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Kjøp pålitelig webhotell med DDoS-beskyttelse, VPS VDS-servere | ProHoster