Kompromitteringen af Red Hats npm-pakker har udsat udviklere for endnu et omfattende supply chain-angreb med malware, der stjæler loginoplysninger. Sikkerhedsforskere opdagede, at angribere lykkedes med at publicere ondsindede versioner af pakker under Red Hats betroede npm-navnerum, hvilket potentielt eksponerede udviklersystemer og autentificeringsdata.
Kampagnen rettede sig mod udviklere og organisationer, der brugte de berørte pakker i udviklingsmiljøer og cloudbaserede arbejdsprocesser. Forskerne advarede om, at den skadelige kode forsøgte at indsamle følsomme loginoplysninger og autentificeringstokens fra inficerede systemer.
Hændelsen viser, hvordan angribere i stigende grad retter sig mod betroede softwareøkosystemer i stedet for at angribe organisationer direkte.
Angribere publicerede ondsindede pakker gennem betroet infrastruktur
Forskerne opdagede, at flere pakker under npm-navnerummet @redhat-cloud-services indeholdt skadelig kode. Fordi pakkerne så ud til at komme fra en officiel Red Hat-kilde, havde udviklere få grunde til at mistænke kompromittering under installationen.
De ondsindede pakker skal have distribueret malware designet til at stjæle loginoplysninger, autentificeringstokens og andre følsomme udviklerdata. Trusselsaktører kan bruge stjålne oplysninger til at få adgang til kildekodelagre, cloudplatforme, CI/CD-pipelines og anden udviklingsinfrastruktur.
Supply chain-angreb er særligt farlige, fordi betroede pakker hurtigt spreder sig til mange miljøer. Én kompromitteret afhængighed kan påvirke udviklere, interne systemer og downstream-applikationer samtidig.
Angriberne udnyttede tilliden til officielle software-navnerum for at øge kampagnens rækkevidde.
Forskere koblede malwaren til tidligere aktivitet
Sikkerhedsforskere forbandt malwaren med aktivitet relateret til den bredere supply chain-kampagne Shai-Hulud. Varianten, der blev brugt i Red Hat-hændelsen, fokuserede angiveligt på at indsamle udvikleres loginoplysninger og udvide adgangen til flere systemer.
Forskerne observerede adfærd designet til at udtrække autentificeringsdata fra udviklingsmiljøer og softwarepubliceringssystemer. Angribere målretter ofte disse miljøer, fordi udviklerkonti kan give adgang til flere sammenkoblede platforme samtidig.
Hændelsen afspejler en voksende tendens, hvor cyberkriminelle kompromitterer betroede softwareøkosystemer i stedet for at forsøge direkte angreb mod velbeskyttede virksomhedsnetværk.
Disse angreb kan skabe omfattende kædereaktioner, fordi kompromitterede udviklerkonti kan gøre det muligt at sprede skadelig kode til yderligere projekter og tjenester.
Kompromitteret udvikleradgang spillede en central rolle
Ifølge rapporter fik angriberne adgang gennem en kompromitteret konto knyttet til Red Hats udviklingsmiljø. Denne adgang gjorde det muligt at indsætte ondsindede workflows og modificerede pakker i betroede publiceringssystemer.
Da angriberne først havde fået publiceringsadgang, fremstod de kompromitterede pakker som legitime for brugere, der downloadede dem via npm.
Teknikken er blevet stadig mere almindelig i supply chain-angreb. I stedet for at udnytte sårbarheder direkte i software fokuserer angribere på at kompromittere udviklerkonti, autentificeringstokens eller automatiserede publiceringspipelines.
Sikkerhedsforskere advarer om, at betroet udviklingsinfrastruktur nu er blandt de mest værdifulde mål i moderne cyberkriminalitet.
Udviklere bør gennemgå systemer og rotere legitimationsoplysninger
Organisationer og udviklere, der installerede de berørte pakkeversioner, bør undersøge deres miljøer for tegn på kompromittering. Sikkerhedseksperter anbefaler at rotere loginoplysninger, tilbagekalde autentificeringstokens, gennemgå CI/CD-pipelines og overvåge systemer for mistænkelig aktivitet.
Teams bør også sikre, at de ondsindede pakkeversioner er fjernet fra både udviklings- og produktionsmiljøer.
Overvågning af afhængigheder og softwareverificering er fortsat vigtige forsvar mod supply chain-angreb. Organisationer bør nøje følge ændringer i softwareafhængigheder og begrænse unødvendig adgang til publiceringsinfrastruktur.
Hændelsen understreger også vigtigheden af at beskytte udviklerkonti med stærk autentificering og begrænsede rettigheder.
Konklusion
Kompromitteringen af Red Hats npm-pakker viser, hvordan supply chain-angreb fortsætter med at udvikle sig til meget effektive trusler mod udviklere og organisationer. Ved at misbruge betroet publiceringsinfrastruktur lykkedes det angriberne at sprede malware, der stjæler loginoplysninger, gennem pakker, som fremstod legitime for brugerne.
Kampagnen viser også, hvordan kompromitteret udvikleradgang kan skabe omfattende downstream-risici på tværs af softwareøkosystemer. Efterhånden som angribere fortsætter med at målrette betroede udviklingsplatforme, bør organisationer styrke kontosikkerheden, overvåge afhængigheder nøje og behandle softwareforsyningskæder som kritisk sikkerhedsinfrastruktur.
0 svar til “Red Hat npm-pakker blev brugt til at sprede malware, der stjæler loginoplysninger”