Gebruikers van Red Hat Linux lopen gevaar door aanval via malafide npm-packages

In dit artikel:

Onderzoekers van Step Security en Aikido ontdekten gisteren dat een reeks kwaadaardige npm-pakketten onder het officiële Red Hat-kanaal @redhat-cloud-services systemen kan infecteren. In totaal zijn 32 packages besmet geraakt; de kwaadwillende code is verborgen onder meerdere lagen om detectie te omzeilen en wordt automatisch uitgevoerd bij installatie.

De malware rooft toegangstokens en inloggegevens voor ontwikkelaars- en clouddiensten — waaronder GitHub Actions, AWS, Google Cloud, Microsoft Azure, Kubernetes, HashiCorp Vault, CircleCI en npm — waardoor aanvallers gevoelige resources kunnen bereiken. Bovendien fungeert de code als worm: met gestolen npm-tokens en de mogelijkheid van npm om tweefactorauthenticatie te omzeilen, kan de malware zichzelf repliceren en backdoors in andere packages plaatsen.

Analyses wijzen erop dat de besmette pakketten via de GitHub-repo RedHatInsights/javascript-clients en de OpenID Connect-integratie van GitHub Actions zijn gepubliceerd, wat duidt op een mogelijke compromittering van Red Hats CI/CD-omgeving. Red Hat bevestigt de aanval, heeft de besmette packages verwijderd en onderzoekt de zaak. Experts waarschuwen opnieuw voor de risico’s van supply-chain-aanvallen en adviseren ontwikkelteams hun CI/CD-credentials, tokens en afhankelijkheden te auditen en te roteren.