Došlo k napadení oficiálních účtů společnosti Red Hat na platformě NPM, které byly následně zneužity k šíření škodlivého kódu. Celkem bylo kompromitováno více než 30 balíčků, které šíří novou variantu malwaru Shai-Hulud nazvanou Miasma. Ten je určený ke krádeži přihlašovacích údajů vývojářů, cloudových přístupových údajů, klíčů SSH, tokenů CI/CD a dalších citlivých informací.
Útočník převzal kontrolu nad legitimním kanálem @redhat-cloud-services v repozitáři NPM, který je vyhrazený pro oficiální balíčky společnosti Red Hat. Tento kanál se proto těší široké důvěře vývojářů, kteří využívají cloudové služby Red Hatu. Podle dostupných informací si kompromitované balíčky stáhne zhruba 117 tisíc uživatelů týdně.
Společnost Red Hat uvádí, že incident vyšetřuje a odstranila upravené balíčky z repozitáře. Tyto balíčky jsou striktně určeny pouze pro interní vývoj a škodlivý kód nebyl nikdy prostřednictvím systému console.redhat.com zpřístupněn zákazníkům. Ačkoli naše vyšetřování stále probíhá, nezjistili jsme žádný dopad na prostředí zákazníků či partnerů ani na produkční systémy společnosti Red Hat.
Podle lidí společnosti Aikido, kteří problém objevili, byl napaden githubový účet vývojáře společnosti Red Hat a tudy pak byly odeslány změny do několika repozitářů. Tyto úpravy přidaly další kroky do GitHub Actions a k tomu také skript, který zneužil publikační mechanismus NPM k vydávání balíčků obsahujících vlastní kód.
Do balíčků je přidán soubor index.js o velikosti přibližně 4,2 MB a slouží ke získání citlivých údajů z GitHub Actions, přihlašovacích údajů k AWS, přihlašovacích údajů ke Google Cloudu, přihlašovacích údajů pro služby Azure, tokenů HashiCorp Vault, tokenů účtů v Kubernetes, tokenů pro publikování na NPM a PyPI, klíčů pro SSH, přihlašovacích údajů do Dockeru, klíčů GPG a souborů s příponou .env.
