Nội dung bài viết
Bất kỳ ai đã tải xuống các gói Red Hat bị ảnh hưởng nên điều tra ngay lập tức.
Các nhà nghiên cứu cho biết các tài khoản NPM chính thức của Red Hat đã bị xâm phạm và được sử dụng để phát tán một loại sâu độc hại lây lan từ máy này sang máy khác, nơi nó ăn cắp thông tin xác thực nhạy cảm với hy vọng đánh cắp được nhiều dữ liệu bí mật hơn.
Theo các nhà nghiên cứu tại công ty bảo mật Aikido, cuộc tấn công vào chuỗi cung ứng bắt đầu vào thứ Hai và vẫn hoạt động vào thời điểm bài đăng này xuất hiện.
Đó là kết quả của việc kẻ tấn công chịu trách nhiệm về vụ hack chiếm quyền kiểm soát @redhat-cloud-services, một kênh hợp pháp trong kho lưu trữ npm dành riêng cho các gói Red Hat chính thức. Do đó, kênh này được các nhà phát triển tin cậy rộng rãi dựa trên các dịch vụ đám mây của Red Hat.
Không rõ chính xác bằng cách nào kẻ đe dọa chiếm quyền kiểm soát không gian tên, nhưng nó gần như chắc chắn liên quan đến việc xâm phạm thông tin xác thực cần thiết để truy cập vào nó, có thể thông qua một cuộc tấn công chuỗi cung ứng trước đó. Hơn 30 gói dường như bị ảnh hưởng.
Các gói thực thi một tải trọng bị xáo trộn có thể chạy trong quá trình cài đặt npm, xảy ra trước khi nhà phát triển nhập hoặc thực sự sử dụng gói trong môi trường sản xuất.
Hãng bảo mật Socket cho biết phân tích về phần mềm độc hại cho thấy rằng nó được thiết kế để thu thập thông tin xác thực nhạy cảm, bao gồm bí mật hành động GitHub, mã thông báo npm, tài liệu Kubernetes và Vault cũng như thông tin xác thực cho các dịch vụ đám mây khác.
Sau đó, sâu lây lan bằng cách xuất bản lại các gói có cửa sau tới tài khoản của bên thứ ba mà thiết bị bị nhiễm có quyền truy cập. Hầu hết, nhưng không phải tất cả, các gói hàng đã bị dỡ bỏ trong vài giờ sau vụ việc.
Các nhà nghiên cứu của Socket viết: “Các tổ chức nên coi bất kỳ hệ thống nào cài đặt một trong các phiên bản gói dịch vụ đám mây @redhat-cloud bị ảnh hưởng đều có khả năng bị xâm phạm”.
“Tải trọng thực thi trong quá trình cài đặt npm, trước khi mã ứng dụng nhập hoặc sử dụng gói, do đó, khả năng hiển thị phụ thuộc vào cài đặt hoặc thực thi CI, chứ không phải việc sử dụng thời gian chạy.” Khi hệ thống bị nhiễm, nó sẽ mã hóa thông tin đăng nhập và gửi chúng qua yêu cầu web.
Cơ chế dự phòng cho phép phần mềm độc hại xuất bản dữ liệu được mã hóa vào kho lưu trữ GitHub bị xâm nhập, giả sử nó có thông tin xác thực về dữ liệu đó.
Sâu này có tên là Shai-Hulud, có tất cả các đặc điểm nổi bật của phần mềm độc hại được phát hành vào tháng trước dưới dạng nguồn mở có sẵn miễn phí.
TeamPCP là nhóm đầu tiên sử dụng Shai-Hulud và nó đã thúc đẩy một cuộc thi hat hứa sẽ trả 1.000 USD cho hacker thực hiện vụ tấn công chuỗi cung ứng lớn nhất bằng phần mềm độc hại. TeamPCP cũng đứng đằng sau hàng loạt cuộc tấn công chuỗi cung ứng trước đó.
Hiện nay sâu này đang nằm trong tay nhiều nhóm đe dọa khác, các cuộc tấn công vào chuỗi cung ứng có thể còn gia tăng hơn nữa.
Phần mềm độc hại dành sự quan tâm đáng kể đến các hệ thống CI/CD (tích hợp liên tục/phân phối liên tục), cho phép phát hành phần mềm nhanh hơn và đáng tin cậy hơn bằng cách tự động hóa việc xây dựng, thử nghiệm và triển khai các thay đổi mã.
Phần mềm độc hại lây lan trong cuộc tấn công hôm thứ Hai đã được phát hành thông qua GitHub Actions OIDC (OpenID Connect), cho thấy đường dẫn CI/CD của Red Hat đã bị xâm phạm.
OIDC là một biện pháp bảo mật được thiết kế để tương tác với các dịch vụ đám mây thông qua việc sử dụng thông tin xác thực tạm thời. Sau khi được cài đặt, phần mềm độc hại sẽ nhắm mục tiêu thông tin xác thực CI/CD của các tổ chức khác.
Sự xâm phạm GitHub Actions OIDC của Red Hat rất có thể là kết quả của một cuộc tấn công chuỗi cung ứng trước đó đã lây nhiễm vào máy của nhân viên. Trong email được gửi sau khi bài đăng này xuất hiện, Red Hat cho biết họ đã xóa các gói độc hại.
“Các gói bị giới hạn nghiêm ngặt trong việc phát triển nội bộ và mã độc chưa bao giờ được phát hiện. được xuất bản cho khách hàng sử dụng thông qua hệ thống console.redhat.com,” email cho biết.
“Trong khi cuộc điều tra của chúng tôi đang diễn ra, chúng tôi chưa xác định được bất kỳ tác động nào đến môi trường khách hàng hoặc đối tác hoặc hệ thống sản xuất của Red Hat.” Với sự thành công của các cuộc tấn công chuỗi cung ứng khác gần đây, bất kỳ ai chạm vào một trong các gói bị ảnh hưởng trong 36 giờ qua đều phải thừa nhận sự xâm phạm đối với máy trạm, đường dẫn CI/CD và tất cả thông tin xác thực cho dịch vụ đám mây và kho lưu trữ.
Điều đó có nghĩa là nhân viên nên bỏ công việc họ đang làm vào lúc này và điều tra kỹ lưỡng. Trong một cuộc tấn công chuỗi cung ứng gần đây nhằm vào Checkmarx, công ty bảo mật này đã không thể loại bỏ hoàn toàn bên chịu trách nhiệm.
Checkmarx sau đó bị tấn công thêm hai lần nữa. Thông tin đăng nhập Checkmarx được sử dụng trong cuộc tấn công đầu tiên xuất phát từ cuộc tấn công chuỗi cung ứng nhằm vào nhà phát triển phần mềm Trivy.
Việc chuyển hướng sang Checkmarx và việc nó không khắc phục được hoàn toàn vi phạm ban đầu cho thấy khó khăn trong việc khôi phục hoàn toàn sau những sai sót bảo mật như vậy và những rủi ro dẫn đến.
Cả Socket và Aikido đều có danh sách các gói Red Hat bị ảnh hưởng và các dấu hiệu tổn hại khác mà bất kỳ cá nhân hoặc tổ chức nào có khả năng bị ảnh hưởng nên sử dụng gói này. mppt.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.