ProHoster > Blog > internetové správy > Útočníci vložili malvér do 32 balíkov Red Hat NPM.

Útočníci vložili malvér do 32 balíkov Red Hat NPM.

Narušením procesu vydávania akcií GitHub v repozitároch RedHatInsights od spoločnosti Red Hat sa útočníkom podarilo publikovať 64 škodlivých verzií 32 balíkov NPM pre platformu Red Hat Cloud Services do adresára NPM. Boli uvoľnené dve škodlivé verzie každého napadnutého balíka NPM, pričom každá obsahovala kód aktivujúci nový variant červa mini-shai-hulud, ktorý vyhľadáva tokeny a prihlasovacie údaje v aktuálnom prostredí.

Červ bol umiestnený do súboru index.js a aktivovaný prostredníctvom predinštalačného obslužného programu volaného pri inštalácii infikovaného balíka. Po aktivácii červ prehľadával systém a hľadal tokeny pre NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp a KubernetesK8s, ako aj súkromné ​​kľúče SSH. Nájdené údaje boli odoslané útočníkom. Ak sa našiel token NPM, červ automaticky publikoval nové škodlivé verzie pre balíky vyvíjané v aktuálnom prostredí a infikoval strom závislostí.

Prístup k akciám GitHub bol získaný kompromitáciou účtu zamestnanca spoločnosti Red Hat, čo útočníkom umožnilo priamo odosielať commity do repozitárov javascript-clients, frontend-components a platform-frontend-ai-toolkit bez toho, aby museli prejsť procesom kontroly. Tieto commity vložili súbor ci.yaml do systému kontinuálnej integrácie, ktorý pri spustení zostavenia spustil skript _index.js pomocou platformy bun. Skript použil povolenie „id-token: write“ na vyžiadanie tokenu OIDC (OpenID Connect) z GitHub, ktorý bol potom použitý na autentifikáciu pomocou NPM prostredníctvom mechanizmu „dôveryhodného publikovania“.

Balíky NPM obsahujúce škodlivý kód:

  • @redhat-cloud-services/chrome (2.3.1, 2.3.2)
  • @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
  • @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
  • @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
  • @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
  • @redhat-cloud-services/frontend-komponenty (7.7.2, 7.7.3)
  • @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
  • @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
  • @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
  • @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
  • @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
  • @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
  • @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
  • @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
  • @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
  • @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
  • @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
  • @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
  • @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
  • @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
  • @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
  • @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
  • @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
  • @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/komponenty-pravidiel (4.7.2, 4.7.3)
  • @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
  • @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
  • @redhat-cloud-services/tsc-transform-imports (1.2.2)
  • @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
  • @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)

Zdroj: opennet.ru

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster