Prin compromiterea procesului de lansare GitHub Actions în depozitele RedHatInsights ale Red Hat, atacatorii au reușit să publice în directorul NPM 64 de versiuni rău intenționate a 32 de pachete NPM pentru platforma Red Hat Cloud Services. Au fost lansate două versiuni rău intenționate ale fiecărui pachet NPM compromis, fiecare conținând cod care activa o nouă variantă a viermelui mini-shai-hulud, care caută token-uri și acreditări în mediul actual.
Viermele a fost plasat în fișierul index.js și activat prin intermediul unui handler de preinstalare apelat la instalarea unui pachet infectat. Odată activat, viermele a căutat în sistem token-uri către NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp și KubernetesK8s, precum și chei private SSH. Datele găsite au fost trimise atacatorilor. Dacă era găsit un token NPM, viermele publica automat noi versiuni malițioase pentru pachetele dezvoltate în mediul curent, infectând arborele de dependențe.
Accesul la GitHub Actions a fost obținut prin compromiterea contului unui angajat Red Hat, permițând atacatorilor să trimită direct commit-uri către repozitoriile javascript-clients, frontend-components și platform-frontend-ai-toolkit fără a trece prin procesul de revizuire. Aceste commit-uri au introdus un fișier ci.yaml în sistemul de integrare continuă, care, la rularea unei build-uri, a executat scriptul _index.js folosind platforma bun. Scriptul a folosit permisiunea „id-token: write” pentru a solicita un token OIDC (OpenID Connect) de la GitHub, care a fost apoi utilizat pentru autentificarea cu NPM prin intermediul mecanismului de „publicare de încredere”.
Pachete NPM care conțin cod rău intenționat:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/componente-frontend (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventary-client (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/topological-inventary-client (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)
Sursa: opennet.ru
