Аккаунты разработчиков компании Red Hat подверглись компрометации, что привело к заражению десятков пакетов в репозитории npm — популярном реестре для JavaScript-разработчиков. Злоумышленники внедрили в код модифицированную версию червя Mini Shai-Hulud, нацеленного на кражу конфиденциальных данных и облачных ключей доступа. Атака типа «цепочка поставок» продолжается, а число потенциально уязвимых проектов растет.
Масштаб угрозы и механизм заражения
Инцидент начался со взлома учетной записи GitHub одного из сотрудников Red Hat. Получив доступ, злоумышленники смогли модифицировать и опубликовать вредоносные версии библиотек в пространстве имен Red Hat Cloud Services. Специалисты по информационной безопасности из компании Wiz обнаружили 32 скомпрометированных пакета, суммарное количество скачиваний которых превысило 80 тысяч всего за одну неделю. В то же время аналитики из Socket сообщают о выявлении уже 95 зараженных пакетов. Эксперты предупреждают, что кампания активна и число пострадавших библиотек может увеличиться.
Какие данные под угрозой
Основная цель вредоносного ПО — сбор конфиденциальной информации разработчиков и серверов автоматизации. Злоумышленники нацелены на кражу следующих данных:
- секреты GitHub Actions и токены авторизации реестра npm;
- учетные данные облачных провайдеров, включая идентификаторы Google Cloud Platform и Microsoft Azure;
- конфигурационные файлы платформ Kubernetes и HashiCorp Vault;
- SSH-ключи и данные аутентификации Git.
Похищенная информация шифруется и отправляется на серверы злоумышленников. В коде также предусмотрены резервные каналы связи через платформу GitHub, что позволяет атакующим не только красть учетные данные, но и подготавливать плацдарм для дальнейшего распространения вредоносного ПО по цепочке поставок.
Реакция Red Hat и особенности новой угрозы
В Red Hat подтвердили факт атаки и сообщили об оперативном удалении вредоносного контента. Представители компании подчеркнули, что затронутые пакеты использовались исключительно для внутренней разработки и никогда не публиковались для клиентов через официальный портал. На данный момент следов компрометации клиентских систем или инфраструктуры партнеров не обнаружено.
Исследователи отмечают, что за созданием исходного червя Mini Shai-Hulud стоит группировка TeamPCP. Однако после того как исходный код вредоноса был выложен в открытый доступ, его начали копировать другие киберпреступники. В новой кампании злоумышленники внесли косметические изменения: все упоминания вселенной «Дюны» в коде были заменены на персонажей греческой мифологии. При этом ключевая функциональность программы осталась прежней, за исключением добавления функций сбора идентификационных данных из облачных платформ Microsoft и Google.