Malware Shai-Hulud tấn công chuỗi cung ứng của Red Hat, lây nhiễm các gói npm
Các nhà nghiên cứu bảo mật vừa phát hiện hàng chục bản phát hành gói npm của Red Hat bị cài sâu loại malware Shai-Hulud, sau khi tài khoản GitHub của một nhân viên công ty này bị xâm phạm. Cuộc tấn công chuỗi cung ứng này nhắm vào việc đánh cắp thông tin xác thực đám mây và mã nguồn, với các gói độc hại được tải xuống khoảng 80.000 lần mỗi tuần. Red Hat xác nhận đã gỡ bỏ các gói này và cho biết chúng chỉ giới hạn trong nội bộ phát triển, không ảnh hưởng đến khách hàng.
Malware Shai-Hulud tấn công chuỗi cung ứng của Red Hat, lây nhiễm các gói npm
Các nhà nghiên cứu bảo mật vào thứ Hai đã phát hiện hàng chục bản phát hành gói npm của Red Hat bị nhiễm sâu bọ (worm) Mini Shai-Hulud, một công cụ độc hại mà nhóm tội phạm mạng TeamPCP gần đây đã mã nguồn mở. Theo các nhà nghiên cứu từ Wiz (công ty thuộc sở hữu của Google), cuộc tấn công chuỗi cung ứng mới này đã ảnh hưởng đến ít nhất 32 bản phát hành gói npm được xuất bản dưới không gian tên (namespace) Red Hat Cloud Services. Họ đã truy xuất nguồn gốc của phần mềm độc hại này về tài khoản GitHub bị xâm phạm của một nhân viên Red Hat. Các chuyên gia cho biết các gói bị ảnh hưởng được tải xuống khoảng 80.000 lần mỗi tuần.
Cơ chế tấn công và lỗ hổng bảo mật
Wiz nhận định đây là một "mối đe dọa trực tiếp" và các nhà nghiên cứu của họ đang tích cực giám sát mọi diễn biến mới. Trong khi đó, Socket đã đếm được 95 phiên bản gói bị ảnh hưởng tính đến thời điểm hiện tại. Cửa hàng bảo mật chuỗi cung ứng này tiếp tục giám sát cuộc tấn công đang diễn ra và cập nhật danh sách các hiện vật (artifacts) bị ảnh hưởng.
"Tài khoản bị xâm phạm đã đẩy các commit mồ côi (orphan commits) độc hại vào hai kho lưu trữ RedHatInsights, qua đó lách qua quy trình xem xét mã nguồn (code review)," các thợ săn mối đe dọa cho biết trong một bài đăng blog vào thứ Hai. "Sự việc này diễn ra qua hai đợt hoạt động riêng biệt."
Các phiên bản bị xâm phạm thực thi một payload ẩn thông qua hook cài đặt trước (preinstall hook), giúp phần mềm độc hại tự động chạy trong quá trình npm install — trước khi nhà phát triển nhập hoặc sử dụng gói đó.
Mục tiêu và khả năng đánh cắp dữ liệu
Dựa trên phân tích của Socket, payload được thiết kế để thu thập các bí mật của GitHub Actions, token npm, thông tin xác thực đám mây, tài liệu Kubernetes và Vault, khóa SSH, thông tin đăng nhập Git và các tệp nhạy cảm khác. Đội ngũ nghiên cứu của Socket viết:
"Nó cũng bao gồm logic trích xuất dữ liệu trái phép được mã hóa và các cơ chế dự phòng dựa trên GitHub, cho thấy kẻ tấn công không chỉ cố gắng đánh cắp thông tin xác thực mà còn có khả năng cho phép sự lây lan thêm trong chuỗi cung ứng."
Một phát ngôn viên của Red Hat cho biết công ty phần mềm thuộc sở hữu của IBM này đã biết về các báo cáo.
"Chúng tôi đã ngay lập tức khởi động cuộc điều tra và gỡ bỏ các gói khỏi sổ đăng ký npm," phát ngôn viên cho biết. "Các gói này bị giới hạn nghiêm ngặt cho việc phát triển nội bộ, và mã độc chưa bao giờ được xuất bản cho khách hàng sử dụng thông qua hệ thống console.redhat.com. Trong khi cuộc điều tra vẫn đang tiếp diễn, chúng tôi chưa phát hiện bất kỳ tác động nào đến môi trường của khách hàng hoặc đối tác, cũng như các hệ thống sản xuất của Red Hat."
Biến thể mới và sự thay đổi chiến thuật
Cả hai công ty bảo mật đều cho biết phần mềm độc hại này giống sâu bọ Mini Shai-Hulud — nhưng vì TeamPCP đã mã nguồn mở công cụ đánh cắp thông tin xác thực này, nên rất khó để nói liệu TeamPCP hay một nhóm bắt chước nào đó chịu trách nhiệm cho đợt lây nhiễm chuỗi cung ứng nhắm vào nhà phát triển lần này.
Theo Wiz, các sửa đổi trông "chủ yếu là thẩm mỹ, với các tham chiếu đến vũ trụ Dune được thay thế bằng các chủ đề thần thoại Hy Lạp (tức là 'spartan'), trong khi chức năng cơ bản và kỹ thuật thủ công vẫn giữ nguyên tương tự."
Một trong những thay đổi đáng chú ý, theo các thám tử bảo mật, là biến thể mới này thêm bộ thu thập dữ liệu cho danh tính Google Cloud Platform (GCP) và Microsoft Azure. Khả năng mới này "nuốt chửng" tất cả các danh tính mà máy bị nhiễm có quyền truy cập, thay vì chỉ đánh cắp bí mật từ môi trường đám mây. Wiz cảnh báo điều này cho thấy "sự tập trung tăng cao của kẻ tấn công vào việc có được và tận dụng quyền truy cập vào chính đám mây."
Biến thể này cũng tạo ra các kho lưu trữ chứa mô tả "Miasma: The Spreading Blight" (Miasma: Sự ô nhiễm lan truyền).
Và không giống như các biến thể trước đó của sâu bọ tự lan truyền này tự sao chép chính mình, biến thể này tạo ra một payload được mã hóa duy nhất cho mỗi lần lây nhiễm. Điều này làm cho các chỉ số bị xâm phạm dựa trên băm (hash-based indicators-of-compromise) chỉ hữu ích cho một phiên bản gói cụ thể.
Các tổ chức được khuyên nên kiểm tra danh sách các hiện vật bị ảnh hưởng từ Socket và giả định rằng hệ thống đã bị xâm phạm nếu đã cài đặt các phiên bản bị nhiễm, sau đó ngay lập tức thay đổi thông tin xác thực (rotate credentials).
