Kompromitteringen av Red Hats npm-pakker har utsatt utviklere for enda et omfattende supply chain-angrep med skadevare som stjeler innloggingsopplysninger. Sikkerhetsforskere oppdaget at angripere klarte å publisere ondsinnede versjoner av pakker under Red Hats betrodde npm-navnerom, noe som potensielt eksponerte utviklersystemer og autentiseringsdata.
Kampanjen rettet seg mot utviklere og organisasjoner som brukte de berørte pakkene i utviklingsmiljøer og skybaserte arbeidsflyter. Forskerne advarte om at den skadelige koden forsøkte å samle inn sensitive innloggingsopplysninger og autentiseringstokener fra infiserte systemer.
Hendelsen viser hvordan angripere i økende grad retter seg mot betrodde programvareøkosystemer i stedet for å angripe organisasjoner direkte.
Angripere publiserte ondsinnede pakker gjennom betrodd infrastruktur
Forskerne oppdaget at flere pakker under npm-navnerommet @redhat-cloud-services inneholdt skadelig kode. Siden pakkene så ut til å komme fra en offisiell Red Hat-kilde, hadde utviklere liten grunn til å mistenke kompromittering under installasjon.
De ondsinnede pakkene skal ha distribuert skadevare utviklet for å stjele innloggingsopplysninger, autentiseringstokener og annen sensitiv utviklerinformasjon. Trusselaktører kan bruke stjålne opplysninger til å få tilgang til kildekodelagre, skyplattformer, CI/CD-pipelines og annen utviklingsinfrastruktur.
Supply chain-angrep er spesielt farlige fordi betrodde pakker raskt sprer seg til mange miljøer. Én kompromittert avhengighet kan påvirke utviklere, interne systemer og nedstrømsapplikasjoner samtidig.
Angriperne utnyttet tilliten til offisielle programvarenavnerom for å øke rekkevidden til kampanjen.
Forskere koblet skadevaren til tidligere aktivitet
Sikkerhetsforskere knyttet skadevaren til aktivitet forbundet med den bredere supply chain-kampanjen Shai-Hulud. Varianten som ble brukt i Red Hat-hendelsen fokuserte angivelig på å samle inn utvikleres innloggingsopplysninger og utvide tilgangen til flere systemer.
Forskerne observerte aktivitet designet for å hente ut autentiseringsdata fra utviklingsmiljøer og systemer for programvarepublisering. Angripere retter seg ofte mot slike miljøer fordi utviklerkontoer kan gi tilgang til flere tilkoblede plattformer samtidig.
Hendelsen gjenspeiler en voksende trend der cyberkriminelle kompromitterer betrodde programvareøkosystemer i stedet for å forsøke direkte angrep mot godt sikrede bedriftsnettverk.
Disse angrepene kan skape omfattende ringvirkninger fordi kompromitterte utviklerkontoer kan gjøre det mulig å spre skadelig kode videre til andre prosjekter og tjenester.
Kompromittert utviklertilgang spilte en sentral rolle
Ifølge rapporter fikk angriperne tilgang gjennom en kompromittert konto knyttet til Red Hats utviklingsmiljø. Denne tilgangen gjorde det mulig å introdusere ondsinnede arbeidsflyter og modifiserte pakker i betrodde publiseringssystemer.
Etter at angriperne fikk publiseringstilgang, fremsto de kompromitterte pakkene som legitime for brukere som lastet dem ned via npm.
Denne teknikken har blitt stadig vanligere i supply chain-angrep. I stedet for å utnytte sårbarheter direkte i programvaren fokuserer angripere på å kompromittere utviklerkontoer, autentiseringstokener eller automatiserte publiseringspipelines.
Sikkerhetsforskere advarer om at betrodd utviklingsinfrastruktur nå er blant de mest verdifulle målene i moderne cyberkriminalitet.
Utviklere bør gjennomgå systemer og rotere innloggingsopplysninger
Organisasjoner og utviklere som installerte berørte pakkeversjoner bør undersøke miljøene sine for tegn på kompromittering. Sikkerhetseksperter anbefaler å rotere innloggingsopplysninger, tilbakekalle autentiseringstokener, gjennomgå CI/CD-pipelines og overvåke systemer for mistenkelig aktivitet.
Team bør også bekrefte at de ondsinnede pakkeversjonene er fjernet fra både utviklings- og produksjonsmiljøer.
Overvåking av avhengigheter og programvareverifisering er fortsatt viktige forsvarsmekanismer mot supply chain-angrep. Organisasjoner bør følge nøye med på endringer i programvareavhengigheter og begrense unødvendig tilgang til publiseringsinfrastruktur.
Hendelsen understreker også viktigheten av å beskytte utviklerkontoer med sterk autentisering og begrensede tillatelser.
Konklusjon
Kompromitteringen av Red Hats npm-pakker viser hvordan supply chain-angrep fortsetter å utvikle seg til svært effektive trusler mot utviklere og organisasjoner. Ved å misbruke betrodd publiseringsinfrastruktur klarte angriperne å spre skadevare som stjeler innloggingsopplysninger gjennom pakker som fremsto legitime for brukerne.
Kampanjen viser også hvordan kompromittert utviklertilgang kan skape omfattende nedstrømsrisiko i programvareøkosystemer. Etter hvert som angripere fortsetter å rette seg mot betrodde utviklingsplattformer, må organisasjoner styrke kontosikkerheten, overvåke avhengigheter nøye og behandle programvareforsyningskjeder som kritisk sikkerhetsinfrastruktur.
0 responses to “Red Hat npm-pakker ble brukt til å spre skadevare som stjeler innloggingsopplysninger”