- Автор темы
- #1
Экосистема Red Hat пострадала от атаки на цепочку поставок. Неизвестные злоумышленники скомпрометировали инфраструктуру публикации пакетов @redhat-cloud-services и опубликовали десятки зараженных библиотек. ИБ-исследователи из компаний Aikido, Socket и OX Security сообщают, что атакующие использовали новый вариант червя Shai-Hulud под названием Miasma.
По данным специалистов, компрометация затронула не менее 32 пакетов и 96 версий. Суммарно эти библиотеки загружали около 117 000 раз в неделю. Среди пострадавших оказались и пакеты, используемые в экосистеме облачных сервисов Red Hat.
Атака была реализована через механизм trusted publishing в npm. Как предполагают исследователи, изначально злоумышленники скомпрометировали GitHub-аккаунт одного из сотрудников Red Hat, а затем внесли вредоносные изменения в репозитории компании. После этого через GitHub Actions и OIDC-токены (npm trusted publishing) были опубликованы зараженные версии пакетов.
Отличительной чертой этой атаки стало то, что вредонос запускался еще на этапе установки зависимостей. В пакетах присутствовал preinstall-скрипт, который автоматически выполнял обфусцированный файл index.js во время npm install, то есть до запуска самого приложения.
После запуска малварь похищала широкий набор данных: секреты GitHub Actions, токены npm и PyPI, SSH-ключи, учетные данные AWS, Google Cloud и Azure, токены HashiCorp Vault, Kubernetes-секреты, конфигурации Docker, GPG-ключи, содержимое .env-файлов и так далее.
При этом червь Miasma не ограничивался кражей информации: вредонос пытался использовать похищенные учетные данные для дальнейшего распространения по цепочке поставок. К примеру, если у зараженной системы был доступ к сторонним репозиториям или CI/CD-инфраструктуре, червь мог внедрять вредоносный код и workflow-файлы в другие GitHub-репозитории, а также публиковать новые зараженные пакеты от имени пострадавших организаций.
Как показал анализ, новая версия малвари во многом повторяет логику червя Shai-Hulud, исходный код которого недавно был опубликован в сети хак-группой TeamPCP. Ранее этот вредонос уже применялся в атаках на проекты Bitwarden, SAP, Mistral AI, TanStack, OpenAI и GitHub.
Однако отмечается, что авторы Miasma заметно доработали код червя: добавили новые механизмы обфускации, поэтапную доставку полезной нагрузки, а также расширили возможности для кражи облачных учетных данных.
Кроме того, малварь умеет закрепляться в системе. Исследователи обнаружили механизмы автоматического запуска через Claude Code и Visual Studio Code, а также попытки повысить привилегии внутри CI/CD-среды. Также каждое новое заражение приводило к генерации уникального зашифрованного пейлоада, что дополнительно усложнило обнаружение атаки.
На момент публикации отчетов специалистов было обнаружено более 300 GitHub-репозиториев, в которые Miasma успел внедрить вредоносный код.
Представители Red Hat подтвердили СМИ факт атаки и сообщили, что все вредоносные пакеты уже удалены из npm. В компании утверждают, что зараженные библиотеки относились исключительно к внутренним инструментам разработки и не попадали к клиентам через console.redhat.com.
В настоящее время не обнаружено никаких признаков компрометации клиентских или производственных систем, однако расследование инцидента еще продолжается.
ИБ-эксперты рекомендуют считать потенциально скомпрометированной любую систему, где устанавливались зараженные версии пакетов. Организациям советуют немедленно изолировать такие хосты, перевыпустить все секреты, токены и ключи доступа, проверить CI/CD-пайплайны, а также пересобрать артефакты, созданные после установки зараженных зависимостей. Подчеркивается, что простого удаления пакета или каталога node_modules в данном случае недостаточно.
По данным специалистов, компрометация затронула не менее 32 пакетов и 96 версий. Суммарно эти библиотеки загружали около 117 000 раз в неделю. Среди пострадавших оказались и пакеты, используемые в экосистеме облачных сервисов Red Hat.
Атака была реализована через механизм trusted publishing в npm. Как предполагают исследователи, изначально злоумышленники скомпрометировали GitHub-аккаунт одного из сотрудников Red Hat, а затем внесли вредоносные изменения в репозитории компании. После этого через GitHub Actions и OIDC-токены (npm trusted publishing) были опубликованы зараженные версии пакетов.
Отличительной чертой этой атаки стало то, что вредонос запускался еще на этапе установки зависимостей. В пакетах присутствовал preinstall-скрипт, который автоматически выполнял обфусцированный файл index.js во время npm install, то есть до запуска самого приложения.
После запуска малварь похищала широкий набор данных: секреты GitHub Actions, токены npm и PyPI, SSH-ключи, учетные данные AWS, Google Cloud и Azure, токены HashiCorp Vault, Kubernetes-секреты, конфигурации Docker, GPG-ключи, содержимое .env-файлов и так далее.
При этом червь Miasma не ограничивался кражей информации: вредонос пытался использовать похищенные учетные данные для дальнейшего распространения по цепочке поставок. К примеру, если у зараженной системы был доступ к сторонним репозиториям или CI/CD-инфраструктуре, червь мог внедрять вредоносный код и workflow-файлы в другие GitHub-репозитории, а также публиковать новые зараженные пакеты от имени пострадавших организаций.
Как показал анализ, новая версия малвари во многом повторяет логику червя Shai-Hulud, исходный код которого недавно был опубликован в сети хак-группой TeamPCP. Ранее этот вредонос уже применялся в атаках на проекты Bitwarden, SAP, Mistral AI, TanStack, OpenAI и GitHub.
Однако отмечается, что авторы Miasma заметно доработали код червя: добавили новые механизмы обфускации, поэтапную доставку полезной нагрузки, а также расширили возможности для кражи облачных учетных данных.
Кроме того, малварь умеет закрепляться в системе. Исследователи обнаружили механизмы автоматического запуска через Claude Code и Visual Studio Code, а также попытки повысить привилегии внутри CI/CD-среды. Также каждое новое заражение приводило к генерации уникального зашифрованного пейлоада, что дополнительно усложнило обнаружение атаки.
На момент публикации отчетов специалистов было обнаружено более 300 GitHub-репозиториев, в которые Miasma успел внедрить вредоносный код.
Представители Red Hat подтвердили СМИ факт атаки и сообщили, что все вредоносные пакеты уже удалены из npm. В компании утверждают, что зараженные библиотеки относились исключительно к внутренним инструментам разработки и не попадали к клиентам через console.redhat.com.
В настоящее время не обнаружено никаких признаков компрометации клиентских или производственных систем, однако расследование инцидента еще продолжается.
ИБ-эксперты рекомендуют считать потенциально скомпрометированной любую систему, где устанавливались зараженные версии пакетов. Организациям советуют немедленно изолировать такие хосты, перевыпустить все секреты, токены и ключи доступа, проверить CI/CD-пайплайны, а также пересобрать артефакты, созданные после установки зараженных зависимостей. Подчеркивается, что простого удаления пакета или каталога node_modules в данном случае недостаточно.