Red Hat npm Ad Alanı Ele Geçirildi: Saldırganlar Bulut Sırlarını Çalmak İçin Kötü Amaçlı Paketler Yayımladı Yazılım

Red Hat npm Ad Alanı Ele Geçirildi: Saldırganlar Bulut Sırlarını Çalmak İçin Kötü Amaçlı Paketler Yayımladı

Red Hat'in npm ad alanı ele geçirildi; 32 pakete gizlenen kötü amaçlı yazılım, geliştirici makinelerinden bulut sırlarını ve CI/CD tokenlarını çaldı.

Red Hat'in resmi npm ad alanı (@redhat-cloud-services), 1 Haziran'da gerçekleştirilen hızlı bir tedarik zinciri saldırısında ele geçirildi. ReversingLabs'ın analizine göre, saldırgan 72 saniye içinde 32 farklı paketin kötü amaçlı sürümlerini yayımladı. Bu paketler, Red Hat'in Hibrit Bulut Konsolu ekosistemindeki UI bileşenlerinden API istemcilerine ve derleme araçlarına kadar geniş bir yelpazeyi kapsıyor ve toplamda yaklaşık 9,8 milyon indirmeye sahip. Saldırı, yazım hatası benzeri bir yöntemle değil, doğrudan güvenilir bir ad alanının ele geçirilmesiyle gerçekleştirildi.

Her bir tehlikeye atılmış paket, kurulum sırasında otomatik olarak çalışan gizlenmiş bir ön yükleme betiği içeriyordu. Bu, uygulama kodunun yürütülmesinden önce çalıştığı için, maruziyet yalnızca paketin kurulması veya derlenmesiyle gerçekleşiyor. Aikido Security, bu kötü amaçlı yazılımın Mini Shai-Hulud solucanının bir varyantı olduğunu ve Miasma adıyla izlendiğini belirtti. ReversingLabs, yazılımın bulut sağlayıcı anahtarları, CI/CD tokenları, npm kimlik bilgileri ve diğer hassas verileri hedef aldığını tespit etti. Ayrıca, ele geçirilen yayımlama tokenlarını kullanarak diğer paketlere de bulaşmaya çalışıyor.

Saldırının en dikkat çekici yönü, paketlerin GitHub Actions OIDC tokenları kullanılarak yayımlanması. Bu, saldırganın geliştiricinin kişisel hesabını değil, doğrudan derleme hattını ele geçirdiğini gösteriyor. OIDC tabanlı 'güvenilir yayımlama', uzun ömürlü npm tokenlarının yerine kısa ömürlü tokenlar kullanarak güvenliği artırmak için getirilmişti. Ancak bu olay, derleme hattının ihlal edilmesi durumunda bu güven mekanizmasının da etkisiz hale gelebileceğini gösteriyor. Araştırmacılar, bu tür saldırıların, güvenilen bir özelliğin savunucuların varsaydığı gibi çalışmadığını ortaya koyduğunu belirtiyor.

Saldırı tespit edildikten sonra, Red Hat yetkilileri tüm 32 paket için temiz sürümler yayımladı ve kötü amaçlı sürümler npm'den kaldırıldı. Ancak, etkilenen sürümleri kullanan veya kaldırılmadan önce kuran herhangi bir proje risk altında. Araştırmacılar, etkilenen bir sürümü yükleyen kuruluşların sistemi potansiyel olarak tehlikeye girmiş kabul etmesini ve maruz kalan kimlik bilgilerini döndürmesini öneriyor. Ayrıca, CI/CD hatlarının beklenmedik yayımlama etkinliklerine karşı denetlenmesi tavsiye ediliyor.

Paylaş: