Red Hat npm Ad Alanı Ele Geçirildi: Bulut ve Geliştirici Kimlik Bilgileri Hedefte Linux

Red Hat npm Ad Alanı Ele Geçirildi: Bulut ve Geliştirici Kimlik Bilgileri Hedefte

Red Hat'in resmi npm ad alanı ele geçirildi, 32 pakete sızan kötü amaçlı yazılım bulut ve geliştirici kimlik bilgilerini çalıyor.

Red Hat'in resmi npm ad alanı @redhat-cloud-services, hızlı bir tedarik zinciri saldırısında ele geçirildi. Saldırgan, 1 Haziran'da 72 saniye içinde 32 paketin kötü amaçlı sürümlerini yayınladı. Bu paketler, Red Hat'in Hibrit Bulut Konsolu ekosisteminden UI bileşenleri, API istemcileri ve derleme araçlarını kapsıyor ve toplamda yaklaşık 9,8 milyon indirmeye sahip.

Saldırı, yazım hatası veya benzer isim kullanımı değildi. Saldırgan, meşru ve güvenilir bir ad alanının kontrolünü ele geçirdi ve gerçek paketleri gizli kötü amaçlı yazılımla yeniden yayınladı. Geliştiricilerin tanınmış bir satıcıya duyduğu güven, bir teslimat yöntemine dönüştürüldü.

Her ele geçirilen paket, kurulum sırasında otomatik olarak çalışan obfuscated bir preinstall betiği içeriyordu. Bu, uygulama kodu çalıştırılmadan önce gerçekleştiği için, sadece paketi yüklemek veya derlemek maruz kalmaya yetti; paketin üretimde kullanılması gerekmiyordu.

Gelecekte Ne Bekleniyor?

Aikido Security, yükün Mini Shai-Hulud solucanının bir varyantı olduğunu ve Miasma adıyla izlendiğini belirtti. ReversingLabs'e göre kötü amaçlı yazılım, bulut sağlayıcı anahtarları, CI/CD token'ları, npm kimlik bilgileri ve geliştirici makinesindeki diğer hassas verileri hedef alıyor. Ayrıca, çalınan yayın token'larını kullanarak ele geçirilen hesabın erişebildiği diğer paketlerin kötü amaçlı sürümlerini yayınlamaya çalışıyor.

Önemli Gelişmeler

Saldırının en çarpıcı yönü, paketlerin nasıl yayınlandığıydı. Aikido, kötü amaçlı sürümlerin GitHub Actions OIDC token'ları kullanılarak yayınlandığını tespit etti. Bu, saldırganın geliştiricinin kişisel hesabını değil, derleme hattını ele geçirdiğini gösteriyor. OIDC tabanlı 'güvenilir yayınlama', uzun ömürlü npm token'larını kısa ömürlü token'larla değiştirerek güvenliği artırmak için getirilmişti, ancak bu olay, boru hattının kendisi ihlal edildiğinde güven sinyalinin artık anlamsız hale gelebileceğini gösteriyor.

Analiz sırasında, meşru bakımcılar 32 paketin tümü için temiz sürümler yayınlamış ve kötü amaçlı sürümler npm'den kaldırılmıştı. Ancak, etkilenen sürümleri kullanan veya kaldırılmadan önce yükleme yapan herhangi bir proje risk altında. Araştırmacılar, etkilenen bir sürümü yükleyen kuruluşların sistemi potansiyel olarak ele geçirilmiş kabul etmesini ve maruz kalan kimlik bilgilerini döndürmesini öneriyor. Ayrıca CI/CD boru hatlarının beklenmedik yayın etkinlikleri için denetlenmesi tavsiye ediliyor.

Kaynak: infosecurity-magazine.com

Paylaş: