Red Hat npm Ad Alanı Ele Geçirildi: Bulut Sırlarınız Tehlikede Dünya Geneli

Red Hat npm Ad Alanı Ele Geçirildi: Bulut Sırlarınız Tehlikede

Red Hat'in npm ad alanı ele geçirildi. 32 pakete backdoor yerleştirildi. Bulut kimlik bilgileri çalındı.

Red Hat'in resmi npm paket ad alanı (@redhat-cloud-services), kötü niyetli aktörler tarafından ele geçirilerek popüler yazılımlara yönelik hızlı bir tedarik zinciri saldırısı başlatıldı. ReversingLabs'ın analizine göre, 1 Haziran'da 32 paketin kötü amaçlı sürümleri yalnızca 72 saniye içinde yayınlandı. Bu paketler, Red Hat Hibrit Bulut Konsolu ekosistemindeki UI bileşenlerinden API istemcilerine ve derleme araçlarına kadar geniş bir yelpazeyi kapsıyor ve toplamda yaklaşık 9,8 milyon indirmeye sahip.

Saldırı, tipik bir yazım hatası veya benzer isim kullanma yöntemi değildi. Saldırgan, meşru ve güvenilir bir ad alanının kontrolünü ele geçirerek gerçek paketleri gizli kötü amaçlı yazılımla yeniden yayınladı. Bu sayede geliştiricilerin tanınmış bir satıcıya duyduğu güven, saldırının yayılma aracı haline geldi.

Her bir tehlikeye atılmış paket, kurulum sırasında otomatik olarak çalışan ve uygulama kodundan önce devreye giren gizlenmiş bir 'preinstall' betiği içeriyordu. Aikido Security'ye göre bu yük, Mini Shai-Hulud solucanının bir varyantı olan Miasma olarak adlandırılıyor. Kötü amaçlı yazılım, bulut sağlayıcı anahtarları, CI/CD token'ları, npm kimlik bilgileri ve diğer hassas verileri hedef alarak geliştiricinin makinesinden sırları çalmaya odaklanıyor.

Teknik Analiz

Saldırının en dikkat çekici yönü, paketlerin GitHub Actions OIDC token'ları kullanılarak yayınlanmış olması. Bu, saldırganın geliştirici hesabını değil, derleme hattını ele geçirdiğini gösteriyor. Güvenli yayıncılık için getirilen OIDC tabanlı sistem, boru hattı ihlal edildiğinde güven sinyali olmaktan çıkıyor. Araştırmacılar, etkilenen sürümleri kullanan kuruluşların sistemlerini tehlikeye girmiş kabul etmelerini ve kimlik bilgilerini döndürmelerini öneriyor.

Paylaş: