Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Red Hat je bio žrtva npm sigurnosne provale.
- Tvrtka je uklonila zahvaćene pakete.
- Provjerite koristite li @redhat-cloud-services npm imenski prostor.
Prostor imena repozitorija npm — okruženje za izvršavanje JavaScripta Node.js upravitelj paketa — poznat je po kršenjima sigurnosti. Sada, Red Hat, koji je s IBM-om upravo najavio Project Lightwell, inicijativu pokretanu umjetnom inteligencijom za pronalaženje i popravljanje ranjivosti softvera otvorenog koda, ima vlastiti problem s npm-om.
Također: Sigurnost otvorenog koda je haos – IBM i Red Hat se klade u 5 milijardi dolara i 20.000 inženjera to može popraviti
Deseci JavaScript paketa u @redhat-cloud-services imenskom prostoru tvrtke bili su skriveni tajnama zlonamjernog softvera za krađu vjerodajnica u Red Hat programerima i sustavima kontinuirane integracije i kontinuirane implementacije (CI/CD). Tvrtka za sigurnosna istraživanja Aikido izvijestila je da je prostor imena “kompromitiran crvom za krađu vjerodajnica. Ukupno je kompromitirano 96 verzija u 32 paketa, kumulativno preuzetih 116.991 puta tjedno.”
Prema sigurnosti Red Hata, netko je upotrijebio kompromitirani GitHub račun za ubacivanje zlonamjernog koda u pakete koji se održavaju u Red Hat GitHub organizaciji. Zahvaćeni paketi su front-end biblioteke kompajlirane i spakovane u slike spremnika tijekom procesa izgradnje Red Hat proizvoda.
Što se točno dogodilo?
Čini se da je zlonamjerni softver dodan putem npm preinstall kukica: kad god je programer ili sustav za izgradnju pokrenuo “npm instalaciju” za zahvaćeni paket, zlonamjerni kod se automatski izvršavao. Prema Microsoftovom timu za obavještavanje o prijetnjama, svaki kompromitirani paket dodao skriptu za predinstalaciju koji je pokretao napuhani, jako zamagljeni učitavač index.js, koji je zatim povukao i izvršio korisni teret dizajniran za usisavanje tajni iz npm-a, GitHuba, AWS-a, SSH-a i drugih okruženja.
Istraživači su brzo povezali napad sa širom kampanjom koja se temelji na zlonamjernom softveru Mini Shai-Hulud, crvu koji se širi npm-om korištenom u ranijim incidentima u lancu opskrbe. U slučaju Red Hat-a, više izvješća se odnosi na korisni teret kao na novu varijantu nazvanu Miasma, koja zadržava Mini Shai-Hulud-ovo ponašanje samorasprostiranja dok dodaje više zamagljivanja i dizajn učitavanja u više stupnjeva.
Crv čini više od puke krađe vjerodajnica. Nakon što se pokrene na računalu s pristupom drugim npm paketima, identificira svaki paket koji trenutačni korisnik može objaviti i ponovno ga objavljuje s istim zlonamjernim sadržajem prije instalacije. Odnosno, svaka žrtva postaje novi napadač. Sigurnosne tvrtke kažu da je ovo “crvljivo” ponašanje ono što je omogućilo tako brzu kontaminaciju imenskog prostora povezanog s Red Hatom. Neke procjene sugeriraju da je više od 30 paketa bilo backdoorirano u nekoliko minuta.
Također: Red Hat Desktop u odnosu na Fedora Hummingbird: Koji put razvoja AI Linuxa je pravi za vas?
Iako Red Hat još nije objavio detaljan post-mortem, neovisne analize ukazuju na kompromitiranu GitHub infrastrukturu kao početni vektor pristupa. Semgrep i druge sigurnosne istraživačke tvrtke izvješćuju da zlonamjerni Paketi s opsegom Red Hat-a gurnuti su pomoću GitHub Actions OpenID Connect (OIDC) tokena povezan s RedHatInsights/javascript-clients spremištem.
Jednom kada su ušli, napadači su ubacili predinstalacijsku kuku u više paketa i verzija, često bez ikakvih odgovarajućih promjena u repozitoriju javnog izvora. Ovo je klasično obilježje kompromisa izgradnje cjevovoda.
Izvršeni kod skenira i pokušava eksfiltrirati sljedeće:
- Tajne GitHub radnji i pristupni tokeni
- GitHub SSH ključevi i osobni pristupni tokeni
- AWS, GCP i Azure vjerodajnice za oblak
- Kubernetes konfiguracija i tokeni
- HashiCorp Vault tokeni i drugi tajni podaci upravitelja
- npm i CircleCI tokeni, plus druge CI/CD tajne pohranjene u varijablama okruženja ili konfiguracijskim datotekama
Također: Rust će spasiti Linux od umjetne inteligencije, kaže Greg Kroah-Hartman
Prodavači sigurnosti upozoravaju da bi svatko tko je instalirao zahvaćene verzije na razvojnu radnu stanicu, agenta za izgradnju ili CI pokretača trebao pretpostaviti da su svi dostupni tokeni i vjerodajnice iz tog okruženja sada možda u rukama napadača.
Za programere, smjernice više tvrtki su jasne:
- Rotirajte tajne odmah.
- Provjerite aktivnost GitHuba i oblaka radi sumnjivog pristupa.
- Ponovo izgradite sve potencijalno kontaminirane okoline prema poznatim dobrim osnovnim vrijednostima.
Red Hat mi je rekao: “Odmah smo pokrenuli istragu i uklonili pakete iz npm registra. Paketi su strogo ograničeni na interni razvoj, a zlonamjerni kod nikada nije bio objavljen za korisničku upotrebu putem sustava console.redhat.com. Dok je naša istraga u tijeku, nismo identificirali nikakav utjecaj na okruženja kupaca ili partnera ili proizvodne sustave Red Hata.”
Ukratko, ovo je moglo biti puno gore.
Također: Ubuntu 26.04 OS je za eru AI agenta, kaže Canonicalov Mark Shuttleworth
Ranije, općenitije smjernice o npm napadima na lanac opskrbeRed Hat Product Security izjavio je da se njegovi proizvodi uvelike oslanjaju na striktno prikvačivanje verzija i interna zrcala te da nikakvi prethodno ugroženi npm paketi nisu ugrađeni u podržani Red Hat softver.
Međutim, nakon nedavnog incidenta, sigurnosni istraživači pozivaju organizacije da ne pretpostavljaju da su sigurne samo zato što koriste Red Hat ponude. Tvrde da svaki radni tijek izgradnje ili razvojnog programa koji je dotaknuo backdoored pakete treba tretirati kao potencijalno ugrožen.
Što biste sada trebali učiniti?
Dok Red Hat uvjerava sve da loš kod nije dospio u javnost, ja ostajem oprezan. Ako se oslanjate na alat Red Hat usluga u oblaku ili ste ikada povukli pakete @redhat-cloud-services u svoje međugradnje, preporučio bih skeniranje stabala ovisnosti za zahvaćene verzije, blokiranje poznatih loših izdanja i vraćanje na stariju verziju ili njihovu zamjenu pouzdanim verzijama gdje je to potrebno.
U isto vrijeme, pretpostavio bih da je bilo koje okruženje u kojem su instalirani ti paketi možda imalo svoje tajne i rotirao bih sve relevantne vjerodajnice, na primjer, GitHub PAT-ove, SSH ključeve, API ključeve pružatelja usluga oblaka i CI tokene.
Također: Koliko je vaša organizacija digitalno suverena? Ovaj Red Hat alat može vam reći za nekoliko minuta
Dugoročno gledano, Red Hat npm incident ponovno pokazuje da npm repozitoriji nisu toliko pouzdani. Budući da su čak i teški dobavljači Linuxa i oblaka sada dokazano ranjivi na crvivi zlonamjerni softver npm, raste pritisak i na upravitelje npm-a i na glavne dobavljače softvera da daju snažnija jamstva o porijeklu i sigurnosti svojih paketa.
Drugim riječima, iako Red Hat možda ima pitu od ove epizode, ona također naglašava koliko su važni projekt Lightwell i slični napori, kao što su Napori Chainguarda da pronađe način za poboljšanje svačije sigurnosti otvorenog kodasu.