研究者らによると、今回の侵害にはMini Shai Huludの亜種が関与しているとのことです。
月曜日、研究者らは資格情報を窃取するワームを使ったサプライチェーン攻撃により、Red Hat の npm パッケージ30件以上が侵害されたと警告しました。
32パッケージにわたる計96バージョンが侵害されたことが確認されており、Aikido Security の研究者が報告しています。累計ダウンロード数は116,000件を超えているとのことです。
これらのパッケージは GitHub Actions の OIDC を通じて公開されており、研究者らは、侵害が npm トークンではなく CI/CD パイプラインに関連していることを示していると指摘しています。
月曜日以降に影響を受けるバージョンのパッケージをダウンロードした方は、CI シークレット、クラウド認証情報、SSH キー、npm トークンが侵害されたものと見なすべきだと研究者らは述べています。今後の被害を防ぐため、これらはすべて予防措置としてローテーションする必要があります。
Red Hat は悪意ある活動の調査を進めていることを認めました。
同社は Cybersecurity Dive に対して声明を発表し、「Red Hat は、当社の開発ツールエコシステム内の特定の npm パッケージに関するセキュリティ報告を認識しています」とコメントしました。
問題のパッケージは npm レジストリから即座に削除されました。Red Hat によると、これらのパッケージは「社内開発のみを目的とした限定的なもの」であり、悪意あるコードが console.redhat.com システムを通じてユーザー向けに公開されることはなかったとしています。
「調査は現在も継続中ですが、顧客・パートナー環境や Red Hat の本番システムへの影響は確認されていません」と同社は述べています。
Red Hat は、今回の侵害が侵害された GitHub アカウントに関連していることを認めており、そのアカウントが RedHatInsights GitHub 組織のリポジトリに不正なコミットをプッシュしていたと説明しています。
ペイロードは Team PCP がオープンソース化した Mini Shai Hulud マルウェアに関連しているとみられ、サイバーセキュリティ企業 Wiz が月曜日に公開したブログ記事によると、この亜種は「Miasma: The Spreading Blight」を参照するリポジトリを生成するとのことです。
Mini Shai Hulud キャンペーンは近年、複数のエコシステムに影響を与えており、4月には SAP の npm パッケージ4件、また Microsoft の Durable Task パッケージ(PyPI)も被害を受けています。
翻訳元: https://www.cybersecuritydive.com/news/dozens-red-hat-npm-packages-supply-chain-attack/821723/
