Slow Fog: npm-пакет облачного сервиса Red Hat подвергся атаке на цепочку поставок, украденные учетные данные обнаружены в более чем 300 репозиториях GitHub

SlowMist выпустила предупреждение о безопасности в связи с обнаружением активной атаки на цепочку поставок npm, направленной на пакеты @redhat-cloud-services. На данный момент подтверждено заражение более 31 пакета с еженедельным объемом загрузок около 116 000, а украденные учетные данные найдены более чем в 300 репозиториях GitHub. Этот метод атаки во многом схож с предыдущей атакой на npm под названием «Shai-Hulud», включая кражу учетных данных, создание вредоносных репозиториев и автоматизированную утечку секретов. Продолжают появляться новые подозрительные репозитории, что указывает на то, что атака все еще продолжается, а разработчики продолжают подвергаться заражению.

Потенциальные угрозы включают: кражу токенов GitHub/npm, утечку облачных учетных данных AWS/GCP/Azure, сбор SSH-ключей и секретов Kubernetes, утечку данных локальной среды и кошельков, создание вредоносных репозиториев и обеспечение постоянного доступа, а также потенциально деструктивные действия после отзыва токенов. Рекомендуется немедленно удалить или понизить версии затронутых пакетов @redhat-cloud-services, провести комплексный аудит рабочих процессов CI/CD и установленных зависимостей, сменить все ключи GitHub, npm, облачных сервисов, SSH и ключи, связанные с кошельками, сохранить логи, а также переустановить скомпрометированные машины разработчиков или раннеры из чистых образов, сохраняя при этом высокий уровень бдительности.