Red Hat пострадала от атаки на цепочку поставок через репозиторий npm

Компания Red Hat стала жертвой серьезного инцидента безопасности в популярном репозитории JavaScript-пакетов npm. Злоумышленники внедрили вредоносное ПО для кражи учетных данных в десятки пакетов компании, что поставило под угрозу безопасность внутренних сред разработки и систем непрерывной интеграции и доставки (CI/CD).

Масштаб инцидента и механизм заражения

По данным аналитической компании Aikido, атаке подверглось пространство имен @redhat-cloud-services. В общей сложности было скомпрометировано 96 версий 32 пакетов, которые суммарно скачивались около 117 тысяч раз в неделю. Вредоносный код внедрялся через механизм автоматического запуска скриптов перед установкой (preinstall hooks). Как только разработчик или автоматизированная система сборки запускали команду установки пакета, вредоносный загрузчик автоматически активировался в системе.

Специалисты по кибербезопасности выяснили, что атакующие использовали новую модификацию вредоносного ПО Mini Shai-Hulud, получившую название Miasma. Эта программа обладает свойствами сетевого червя: получив доступ к системе, она проверяет, к каким еще npm-пакетам есть права доступа у текущего пользователя, и автоматически перезаписывает их, внедряя аналогичный вредоносный код. Подобное поведение позволило злоумышленникам мгновенно заразить десятки библиотек Red Hat.

По предварительным оценкам независимых аналитиков, первоначальный доступ был получен через компрометацию учетных данных в инфраструктуре GitHub. Для загрузки вредоносных пакетов использовались токены авторизации GitHub Actions, связанные с одним из публичных репозиториев компании.

Какая информация оказалась под угрозой

Эксперты отмечают, что основной целью вредоносного ПО был сбор конфиденциальных данных из систем разработки. Программа сканировала зараженные устройства в поисках следующей информации:

• секреты и токены доступа GitHub Actions;
• SSH-ключи и персональные токены доступа GitHub;
• учетные данные облачных провайдеров AWS, GCP и Azure;
• конфигурационные файлы и токены Kubernetes;
• данные систем управления секретами, включая HashiCorp Vault;
• токены npm, CircleCI и другие конфиденциальные переменные окружения систем сборки.

Реакция Red Hat и рекомендации для разработчиков

Представители Red Hat сообщили, что незамедлительно начали расследование и удалили скомпрометированные версии из реестра npm. В компании подчеркнули, что данные библиотеки использовались исключительно во внутренних процессах разработки, и вредоносный код не попал в продукты для конечных клиентов через официальную платформу консоли управления Red Hat. На текущий момент свидетельств компрометации систем клиентов или партнеров не обнаружено.

Тем не менее, специалисты по информационной безопасности призывают организации, использующие облачные инструменты Red Hat, не терять бдительность. Если в процессах сборки когда-либо использовались пакеты из пространства имен @redhat-cloud-services, рекомендуется принять следующие защитные меры:

• провести тщательный аудит дерева зависимостей и заблокировать запуск известных вредоносных версий;
• незамедлительно сменить (ротировать) все токены доступа, API-ключи облачных систем и SSH-ключи, которые могли находиться в потенциально зараженной среде;
• проверить журналы активности облачных провайдеров и GitHub на предмет подозрительных действий;
• полностью пересобрать и очистить среды разработки на основе доверенных базовых образов.

Этот инцидент наглядно демонстрирует уязвимость современных экосистем разработки программного обеспечения. Даже крупные технологические вендоры могут стать жертвами сложных червеобразных программ в репозиториях, что подчеркивает необходимость внедрения более строгих стандартов проверки и защиты open-source компонентов.