Red Hat npm Ad Alanı Ele Geçirildi: Kötü Amaçlı Paketlerle Bulut Sırları Çalınıyor Yazılım

Red Hat npm Ad Alanı Ele Geçirildi: Kötü Amaçlı Paketlerle Bulut Sırları Çalınıyor

Red Hat'in npm ad alanı ele geçirildi; 32 kötü amaçlı paket, geliştirici makinelerinden bulut ve CI/CD sırlarını çalmak için yayınlandı.

Siber güvenlik araştırmacıları, Red Hat'in resmi npm paket ad alanı (@redhat-cloud-services) üzerinde gerçekleştirilen bir tedarik zinciri saldırısını ortaya çıkardı. ReversingLabs analizine göre, 1 Haziran'da 72 saniye içinde 32 paketin kötü amaçlı sürümleri yayınlandı. Bu paketler, Red Hat Hybrid Cloud Console ekosistemine ait UI bileşenlerinden API istemcilerine ve derleme araçlarına kadar geniş bir yelpazeyi kapsıyor ve toplamda yaklaşık 9,8 milyon indirmeye sahip.

Saldırı, tipik bir yazım hatası veya benzer isim kullanma taktiğinden farklı. Saldırgan, güvenilir ve meşru bir ad alanını ele geçirerek gerçek paketleri gizli kötü amaçlı yazılımla yeniden yayınladı. Her bir paket, kurulum sırasında otomatik olarak çalışan gizlenmiş bir ön kurulum betiği içeriyordu. Bu betik, uygulama kodu çalıştırılmadan önce devreye girdiği için, paketi üretimde kullanmasanız bile sadece yüklemek veya derlemek bile sistemi tehlikeye atmaya yetti.

Aikido Security, kötü amaçlı yazılımı Mini Shai-Hulud solucanının bir varyantı olarak tanımladı ve Miasma adını verdi. ReversingLabs, yazılımın bulut sağlayıcı anahtarları, CI/CD tokenları, npm kimlik bilgileri ve diğer hassas verileri hedef aldığını tespit etti. Solucan ayrıca, ele geçirilen yayınlama tokenlarını kullanarak diğer paketlere de bulaşmaya çalışıyor. En dikkat çekici nokta ise saldırganın GitHub Actions OIDC tokenlarını kullanarak paketleri yayınlaması; bu, geliştirici hesabı yerine derleme hattının ele geçirildiğini gösteriyor.

Gelecekte Ne Bekleniyor?

OIDC tabanlı 'güvenilir yayınlama', uzun ömürlü npm tokenlarının yerine kısa ömürlü tokenlar kullanarak güvenliği artırmak için getirilmişti. Ancak bu olay, derleme hattı ihlal edildiğinde bu mekanizmanın nasıl aşılabileceğini gösterdi. Araştırmacılar, etkilenen sürümleri yükleyen kuruluşların sistemlerini potansiyel olarak ele geçirilmiş kabul etmelerini ve maruz kalan kimlik bilgilerini döndürmelerini önerdi. Ayrıca CI/CD hatlarında beklenmeyen yayınlama etkinliklerinin denetlenmesi tavsiye edildi.

Paylaş: