- La variante mini shai-hulud del paquete Red Hat npm se ha visto comprometida
- Los atacantes apuntan a la privacidad de GitHub y a las credenciales de la nube
- Los gusanos imitadores tienen un tema pero muestran un oficio similar
Numerosos paquetes npm de Red Hat han sido recientemente comprometidos y contaminados por una variante del mini gusano Shy-Hulu, que apunta a secretos de acción de GitHub, tokens npm y otra información valiosa. Miles de desarrolladores y proyectos están potencialmente en riesgo.
Recientemente, un solo empleado de Red Hat vio comprometida su cuenta de GitHub. Los delincuentes utilizan el acceso para infiltrarse y luego comprometer docenas de paquetes npm.
Wiz, por ejemplo, ha identificado hasta ahora 32 paquetes, que reciben alrededor de 80.000 descargas por semana. Por otro lado, Socket afirma haber detectado 95 paquetes. Ambas partes han confirmado que el ataque está actualmente en marcha e indicaron que es probable que el número de paquetes infectados sea mayor.
Imitadores de TeamPCP
Todos los paquetes se publican en el espacio de nombres de Red Hat Cloud Services. La agencia confirmó el ataque. Registroy dijo que había eliminado el contenido comprometido. “Los paquetes están estrictamente limitados al desarrollo interno y el código malicioso nunca fue lanzado para uso del cliente a través del sistema console.redhat.com. Si bien nuestra investigación está en curso, no hemos identificado ningún impacto en los entornos de clientes o socios o en los sistemas de producción de Red Hat”.
Socket dijo que los atacantes buscaban los secretos de acción de GitHub, los tokens npm, las credenciales de la nube, los componentes de Kubernetes y Vault, las claves SSH, las credenciales de git y otros archivos confidenciales de las personas. “También incluye una lógica de exfiltración cifrada y un mecanismo de respaldo basado en GitHub, lo que indica que el atacante no sólo está tratando de robar credenciales, sino que potencialmente ha permitido una mayor propagación de la cadena de suministro”.
Originalmente, el equipo detrás del mini ataque Shai-Hulud era TimPCP. Sin embargo, son gusanos de código abierto, lo que lleva a la aparición de imitadores y otros actores de amenazas que emplean tácticas similares. La campaña presentaba cambios cosméticos en miniatura que apuntaban a ese grupo.
Weiss afirma que todas las referencias al universo Dune fueron reemplazadas por temas mitológicos griegos, pero aparte de eso, la funcionalidad y el oficio subyacentes son “bastante similares”. Una diferencia notable de este gusano es la colección de identidades de Google Cloud Platform y Microsoft Azure, así como todas las identidades a las que tiene acceso la máquina infectada.
a través de Registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
