Tấn công chuỗi cung ứng nghiêm trọng: 32 gói NPM của Red Hat bị cài sâu mã độc đánh cắp dữ liệu
Các tin tặc đã phát hành 96 phiên bản độc hại của 32 gói phần mềm trên kho NPM của Red Hat, cài đặt một loại sâu máy tính đánh cắp thông tin xác thực. Cuộc tấn công này nhắm vào hệ sinh thái Red Hat Hybrid Cloud Console và có khả năng xâm phạm quy trình CI/CD.
Vào thứ Hai vừa qua, các tin tặc đã thực hiện một cuộc tấn công chuỗi cung ứng mới nhằm vào kho lưu trữ NPM của Red Hat. Họ đã phát hành các phiên bản độc hại của 32 gói phần mềm để phân phối một loại sâu máy tính chuyên đánh cắp thông tin xác thực.
Theo ghi nhận từ ReversingLabs, trong vòng 72 giây, kẻ tấn công đã tung ra các phiên bản bị nhiễm độc cho cả 32 gói phần mềm, có khả năng sử dụng các công cụ tự động hóa. Các gói bị ảnh hưởng bao trùm toàn bộ hệ sinh thái JavaScript của Red Hat Hybrid Cloud Console và có tổng cộng gần 10 triệu lượt tải xuống.
Red Hat
Xâm phạm quy trình CI/CD
Các chuyên gia từ Aikido cho rằng kẻ tấn công có khả năng đã xâm phạm vào quy trình CI/CD (Tích hợp liên tục/Triển khai liên tục) và sử dụng GitHub Actions OIDC để phát hành các phiên bản gói độc hại. ReversingLabs tin rằng tin tặc đã có quyền truy cập vào thông tin xác thực của phạm vi NPM @redhat-cloud-services.
Các gói phần mềm này chứa một "preinstall hook" dẫn đến việc thực thi mã độc trong quá trình cài đặt NPM, trước khi gói được nhập vào hoặc sử dụng.
Sâu máy tính "Miasma"
Payload (phần tải trọng) của mã độc chứa chuỗi ký tự "Miasma: The Spreading Blight" và dường như là một biến thể của sâu máy tính Mini Shai-Hulud mà nhóm TeamPCP đã sử dụng trong một số cuộc tấn công nhằm vào cộng đồng phần mềm mã nguồn mở trong những tháng gần đây.
Nhóm hacker này đã phát hành mã nguồn của phần mềm độc hại vào tháng trước, mời gọi các tội phạm mạng sử dụng nó trong các cuộc tấn công chuỗi cung ứng như một phần của thử thách.
Theo Socket, phần mềm độc hại được thiết kế để thu thập "bí mật GitHub Actions, token npm, thông tin xác thực đám mây, tài liệu Kubernetes và Vault, khóa SSH, thông tin xác thực Git và các tệp nhạy cảm khác".
Tương tự như Mini Shai-Hulud, nó exfiltrate (tuồn) dữ liệu đã thu thập về máy chủ do kẻ tấn công kiểm soát và sử dụng cơ chế dự phòng dựa trên GitHub, công bố thông tin bị đánh cắp lên các kho lưu trữ công cộng mới tạo.
Tác động và Khuyến nghị
Mặc dù phạm vi lây nhiễm đầy đủ vẫn chưa được biết đến, nhưng Ox Security đã xác định 210 kho lưu trữ chứa thông tin xác thực bị đánh cắp, cho thấy ít nhất số lượng nhà phát triển tương tự đã bị nhiễm sau khi tải xuống và cài đặt các phiên bản độc hại của gói Red Hat.
Security
Các nhà bảo trì của Red Hat đã phát hành các phiên bản sạch cho tất cả 32 gói bị ảnh hưởng và các phiên bản độc hại đã bị xóa khỏi NPM.
Người dùng được khuyên nên cập nhật lên phiên bản sạch càng sớm càng tốt. Bất kỳ ai đã cài đặt phiên bản độc hại nên coi hệ thống và môi trường xây dựng của mình đã bị xâm phạm và cần ngay lập tức thay đổi thông tin xác thực, token, khóa API và các thông tin nhạy cảm khác mà phần mềm độc hại có thể đã truy cập.
Các nhà phát triển cũng được khuyên nên kiểm tra các phụ thuộc chuyển tiếp (transitive dependencies), vì các gói này được sử dụng rộng rãi như các thư viện gián tiếp, đồng thời giám sát môi trường của họ để phát hiện các kết nối đi bất thường.
