Recent, utilizatorii serviciilor cloud Red Hat au avut parte de o surpriză neplăcută. Conturile oficiale Red Hat NPM au fost compromise, permițând răspândirea unui vierme informatic dăunător. Acesta fură credențiale sensibile cu scopul de a accesa și mai multe date confidențiale. Atacul asupra lanțului de aprovizionare a început luni și era încă activ la momentul redactării acestui articol, conform cercetătorilor de la firma de securitate Aikido.
Canalul @redhat-cloud-services, destinat pachetelor oficiale Red Hat în depozitul npm, este în mod normal un canal de încredere pentru dezvoltatori. Totuși, este neclar cum a reușit actorul amenințării să preia controlul acestui spațiu, dar se presupune că a implicat compromiterea credențialelor necesare pentru acces, posibil printr-un atac anterior asupra lanțului de aprovizionare.
Mai mult de 30 de pachete par a fi afectate. Acestea execută un payload obscurizat care poate rula în timpul procesului de instalare npm, înainte ca un dezvoltator să importe sau să utilizeze efectiv pachetul într-un mediu de producție. Analiza malware-ului efectuată de firma de securitate Socket a relevat că acesta este proiectat pentru a colecta credențiale sensibile, inclusiv secrete de acțiuni GitHub, token-uri npm, materiale Kubernetes și Vault, precum și credențiale pentru alte servicii cloud. Viermele se răspândește republicând pachete compromise în conturi terțe la care dispozitivul infectat are acces.
Cercetătorii de la Socket atrag atenția că orice sistem care a instalat una dintre versiunile afectate ale pachetului @redhat-cloud-services ar trebui tratat ca potențial compromis. Odată ce un sistem este infectat, acesta criptează credențialele și le trimite printr-o solicitare web. Un mecanism de rezervă permite malware-ului să publice datele criptate într-un depozit GitHub compromis, presupunând că are în posesie credențialele necesare pentru acesta.
Viermele, numit Shai-Hulud, are toate caracteristicile unui malware lansat luna trecută ca sursă deschisă liberă. Grupul TeamPCP a fost primul care a folosit Shai-Hulud și a promovat un concurs care promitea o plată de 1.000 de dolari hackerului care realiza cel mai mare atac asupra lanțului de aprovizionare folosind acest malware. Acum, având în vedere că viermele este în mâinile multor alte grupuri de amenințare, atacurile asupra lanțului de aprovizionare ar putea crește.
Această situație subliniază importanța unei securități informatice robuste și a unei vigilențe continue, mai ales în ceea ce privește sistemele CI/CD (integrare continuă/livrare continuă), care sunt esențiale pentru lansarea rapidă și sigură a softurilor. Este vital ca dezvoltatorii și organizațiile să fie conștienți de riscurile asociate cu dependențele de software și să acționeze rapid pentru a proteja datele și infrastructura.
Sursa: Ars Tehnica Technology
Poll: Care ar trebui să fie principala prioritate a organizațiilor în contextul atacului recent asupra lanțului de aprovizionare Red Hat NPM?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply