Разработчики, которые на выходных загрузили пакеты из пространства имен npm от Red Hat под названием @redhat-cloud-services, вместо этого получили червя, крадущего секреты.
Исследователи безопасности из нескольких кибербезопасных изданий предупреждают о новой атаке на цепочку поставок, скомпрометировавшей более 30 пакетов npm, связанных с Red Hat Cloud Services, с целью кражи учетных данных, токенов аутентификации и других секретов из сред разработчиков.
Считается, что кампания, которую исследователи Wiz отслеживают как Miasma, является последней эволюцией Shai-Hulud — самораспространяющегося семейства вредоносного ПО, которое неоднократно всплывало в атаках на цепочку поставок программного обеспечения, нацеленных на экосистему npm.
«Расследование показало, что по крайней мере 32 выпуска пакетов содержали несанкционированные изменения, не соответствующие соответствующим исходным репозиториям», — заявили исследователи Wiz в посте в блоге. «Эти пакеты в совокупности имеют в среднем около 80 000 загрузок в неделю».
Похоже, червь также расширяет свои амбиции. Wiz отметила, что Miasma включает новые сборщики для идентификаторов Google Cloud и Azure, расширяя фокус с кражи учетных данных на картирование и потенциальное использование облачного доступа, доступного из скомпрометированных сред разработчиков.
Компрометируя пакеты, связанные с Red Hat Cloud Services, злоумышленники нацеливаются на экосистему программного обеспечения, которой многие организации уже доверяют. Хорошая новость заключается в том, что большинство пакетов, которые, как предполагалось, были заражены, уже удалены, отметили исследователи.
Shai Hulud нацелился на доверенные пакеты
Согласно сообщениям, злоумышленники скомпрометировали пакеты npm, опубликованные под пространством имен, связанным с Red Hat Cloud Services, и внедрили вредоносное ПО, способное автоматически выполняться во время установки пакета.
Вредоносная полезная нагрузка была разработана для кражи широкого спектра учетных данных и секретов из зараженных сред. Исследователи наблюдали попытки сбора токенов аутентификации npm, переменных среды, облачных учетных данных и другой конфиденциальной информации, обычно хранящейся на рабочих станциях разработчиков и в системах CI/CD.
Анализ Wiz показал, что вредоносное ПО принадлежит к семейству Mini Shai-Hulud — угрозе, крадущей учетные данные, которая неоднократно появлялась в атаках на экосистему npm в течение года. «Полезная нагрузка, по-видимому, получена из вредоносного ПО (Mini) Shai-Hulud с открытым исходным кодом от TeamPCP», — заявили исследователи. «Наблюдаемые изменения в основном косметические: ссылки на вселенную «Дюны» заменены темами греческой мифологии (например, «spartan»), в то время как базовая функциональность и методы остаются существенно схожими».
Вариант вредоносного ПО был замечен при создании репозиториев с описанием «Miasma: The Spreading Blight» (Миазма: Распространяющаяся зараза).
Снова фокус на цепочке поставок.
Хотя немедленной целью была кража учетных данных, исследователи считают, что более широкая цель кампании заключалась в обеспечении постоянства и расширении присутствия в экосистемах дистрибуции программного обеспечения.
По данным Wiz, вредоносное ПО активно искало учетные данные, связанные с рабочими процессами публикации пакетов. OX Security также отметила, что код нацелен на секреты, которые могут позволить злоумышленникам выйти за рамки первоначально скомпрометированных пакетов и получить доступ к дополнительным учетным записям и репозиториям разработчиков.
Wiz также обнаружила, что злоумышленники изменили рабочие процессы публикации пакетов, чтобы скомпрометированные выпуски выглядели легитимными. Рабочий процесс GitHub Actions запрашивал токены идентификации GitHub OpenID Connect (OIDC) и выполнял обфусцированную полезную нагрузку, которая публиковала пакеты с действительными SLSA-аттестациями. Это позволило скомпрометированным выпускам нести доверенные метаданные цепочки поставок.
Эта техника заимствована из более ранней атаки TeamPCP на TanStack, злоумышленника, стоящего за публикацией вредоносного ПО Mini Shai-Hulud с открытым исходным кодом. Параллели с кодом злоумышленника были замечены и в недавней кампании Megalodon, что указывает на активное распространение результатов многомесячной атаки на цепочку поставок.
Для затронутых организаций немедленным приоритетом является определение того, были ли установлены вредоносные пакеты и были ли скомпрометированы какие-либо учетные данные. Исследователи рекомендовали ротацию потенциально скомпрометированных секретов, отзыв и повторную выдачу токенов публикации npm, а также проверку действий по репозиториям и публикации пакетов.
Исследователи Wiz заявили, что «большинство» вредоносных версий были отозваны на момент публикации раскрытия информации. Они также предоставили список индикаторов компрометации (IOC) вместе с названиями зараженных пакетов для дополнительной поддержки.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
