آکادمی لیان

آلودگی بیش از ۳۰ بسته npm متعلق به Red Hat برای سرقت اطلاعات توسعه‌دهندگان

سجاد تیموری ارسال به ایمیل 14 ساعت پیشآخرین بروزرسانی: خرداد ۱۲, ۱۴۰۵
۰ 1 زمان تقریبی مطالعه 3 دقیقه
آلودگی بیش از ۳۰ بسته npm متعلق به Red Hat برای سرقت اطلاعات توسعه‌دهندگان
آلودگی بیش از ۳۰ بسته npm متعلق به Red Hat برای سرقت اطلاعات توسعه‌دهندگان

بیش از ۳۰ بسته npm تحت فضای نام @redhat-cloud-services متعلق به Red Hat، در جریان یک حمله زنجیره تأمین مورد سوءاستفاده قرار گرفتند؛ حمله‌ای که یک گونه جدید از بدافزار سرقت‌کننده اطلاعات احراز هویت موسوم به Shai-Hulud را با نام Miasma توزیع می‌کرد.

این رخداد توسط شرکت‌های امنیتی Aikido و OX Security کشف شد. این شرکت‌ها اعلام کردند ده‌ها نسخه از این بسته‌ها به بک‌دور آلوده شده بودند؛ بدافزاری که برای سرقت اطلاعات احراز هویت توسعه‌دهندگان، اسرار ابری، کلیدهای SSH، توکن‌های CI/CD و سایر داده‌های حساس طراحی شده بود.

طبق اعلام Aikido، این بسته‌های آلوده در مجموع حدود ۱۱۷ هزار بار دانلود هفتگی دریافت می‌کنند.

Red Hat در بیانیه‌ای که در اختیار BleepingComputer قرار داده، اعلام کرده است پس از آگاهی از این حادثه، بسته‌های آسیب‌دیده را حذف کرده و این آلودگی صرفاً به ابزارهای توسعه داخلی محدود بوده است.

Red Hat اعلام کرد:

آکادمی لیان

«رد هت از گزارش‌های امنیتی مربوط به برخی بسته‌های npm در اکوسیستم ابزارهای توسعه خود آگاه است. ما بلافاصله تحقیق در این خصوص را آغاز کردیم و این بسته‌ها را از رجیستری npm حذف کردیم.»

این شرکت همچنین افزود:

«این بسته‌ها صرفاً به توسعه داخلی محدود هستند و کد مخرب هرگز از طریق سامانه console.redhat.com برای استفاده مشتریان منتشر نشده است. اگرچه تحقیقات ما همچنان ادامه دارد، اما تاکنون هیچ‌گونه اثری بر محیط‌های مشتریان یا شرکا و همچنین سامانه‌های عملیاتی Red Hat شناسایی نکرده‌ایم.»

این شرکت می‌گوید بررسی حادثه همچنان ادامه دارد، اما به پرسش‌ها درباره نحوه نفوذ به حساب کاربری مربوطه پاسخی نداده است.

آلوده‌سازی بسته‌های Red Hat از طریق نفوذ به GitHub

طبق اعلام Aikido، مهاجمان احتمالاً حساب GitHub یکی از کارکنان Red Hat را به خطر انداخته و از آن برای ارسال مستقیم کامیت‌های مخرب به چندین مخزن استفاده کرده‌اند.

این کامیت‌ها شامل یک گردش‌کار GitHub Actions و یک اسکریپت بودند که از مکانیزم انتشار npm سوءاستفاده می‌کرد تا نسخه‌های آلوده به بک‌دور را منتشر کند.

Aikido در توضیح این روند می‌گوید:

«زمانی که این گردش‌کار اجرا می‌شود، ابتدا Bun را نصب کرده و سپس فایل _index.js را اجرا می‌کند؛ در حالی که فهرست بسته‌های هدف از طریق متغیر محیطی OIDC_PACKAGES به آن ارسال می‌شود.»

این شرکت در ادامه توضیح می‌دهد:

«این اسکریپت از مجوز id-token: write برای درخواست یک توکن OIDC کوتاه‌عمر از GitHub استفاده می‌کند و سپس با تکیه بر همان توکن، مستقیماً در برابر endpoint مربوط به Trusted Publishing در npm احراز هویت کرده و نسخه‌های آلوده تمام بسته‌های موجود در فهرست را منتشر می‌کند.»

بسته‌های آلوده‌شده دارای یک اسکریپت مخرب preinstall بودند که هنگام نصب توسط توسعه‌دهندگان، به‌صورت خودکار یک فایل index.js به‌شدت مبهم‌سازی‌شده را اجرا می‌کرد.

به گفته Aikido، بار مخرب index.js حدود ۴.۲ مگابایت حجم داشته و برای سرقت موارد زیر استفاده می‌شده است:

  • اسرار GitHub Actions
  • اطلاعات احراز هویت AWS
  • اطلاعات احراز هویت Google Cloud
  • اطلاعات احراز هویت Azure Service Principal
  • توکن‌های HashiCorp Vault
  • توکن‌های حساب سرویس Kubernetes
  • توکن‌های انتشار npm و PyPI
  • کلیدهای SSH
  • اطلاعات احراز هویت Docker
  • کلیدهای GPG
  • فایل‌های .env

Aikido اعلام کرده است که ۳۲ بسته و ۹۶ نسخه از بسته‌ها تحت تأثیر این رخداد قرار گرفته‌اند؛ از جمله چندین کتابخانه کلاینت که تحت فضای نام @redhat-cloud-services نگه‌داری می‌شوند.

به سازمان‌هایی که هر یک از نسخه‌های آسیب‌دیده را نصب کرده‌اند توصیه شده است تمامی اطلاعات احراز هویت، اسرار و توکن‌هایی را که توسط کد روی دستگاه آلوده استفاده شده‌اند، فوراً تعویض یا بازتولید کنند.

به‌نظر می‌رسد Miasma گونه جدیدی از Shai-Hulud باشد

در طول چند ماه گذشته، حملات متعددی در زنجیره تأمین مشاهده شده که در آن‌ها از بدافزار ShaiHulud برای سرقت اطلاعات احراز هویت و گسترش آلودگی به سایر پروژه‌ها استفاده شده است.

این حملات پروژه‌های شناخته‌شده‌ای از جمله Bitwarden، SAP، Mistral، TanStack، OpenAI و GitHub را تحت تأثیر قرار داده‌اند.

در ماه مه، گروه تهدید TeamPCP کد منبع چارچوب بدافزاری Mini Shai-Hulud را به‌صورت عمومی منتشر کرد؛ اقدامی که این بدافزار را در اختیار سایر عاملان تهدید نیز قرار داد.

پژوهشگران می‌گویند بدافزار استفاده‌شده در حمله علیه Red Hat شباهت‌های زیادی با Mini Shai-Hulud دارد، اما اکنون از عبارت “Miasma: The Spreading Blight” به‌عنوان کامنت در مخازن GitHub آلوده استفاده می‌کند.

با وجود شباهت این بدافزار به Mini Shai-Hulud متعلق به TeamPCP، هنوز مشخص نیست که این کارزار مستقیماً توسط همان گروه انجام شده یا توسط عامل تهدید دیگری که کد منبع افشاشده بدافزار را تغییر داده است.

OX Security می‌گوید این بدافزار همان قابلیت‌های سرقت اطلاعات احراز هویت موجود در Mini Shai-Hulud را حفظ کرده، اما در عین حال لایه‌های مبهم‌سازی بیشتر، سازوکارهای چندمرحله‌ای تحویل بار مخرب، و قابلیت‌های پیشرفته‌تر برای سرقت داده و برداشت اطلاعات احراز هویت به آن افزوده شده است.

در زمان نگارش این گزارش، ۳۰۹ مخزن GitHub در کارزار بدافزاری Miasma آلوده شده‌اند.

سجاد تیموری ارسال به ایمیل 14 ساعت پیشآخرین بروزرسانی: خرداد ۱۲, ۱۴۰۵
۰ 1 زمان تقریبی مطالعه 3 دقیقه
آکادمی لیان

نوشته های مشابه

هک گسترده در ایتالیا: افشای ۲.۳ ترابایت داده از Almaviva

هک گسترده در ایتالیا: افشای ۲.۳ ترابایت داده از Almaviva

آذر ۱, ۱۴۰۴
افشای بدافزار BadAudio؛ ابزار جدید گروه APT24 در عملیات سایبری

افشای بدافزار BadAudio؛ ابزار جدید گروه APT24 در عملیات سایبری

آذر ۱, ۱۴۰۴
استخراج اطلاعات احراز هویت با استفاده از NetExec ‏(nxc)

استخراج اطلاعات احراز هویت با استفاده از NetExec ‏(nxc)

آبان ۲۴, ۱۴۰۴
‏Apple هشدار داد: پیامک‌های مربوط به «یافتن آیفون» می‌تواند تله فیشینگ باشد

‏Apple هشدار داد: پیامک‌های مربوط به «یافتن آیفون» می‌تواند تله فیشینگ باشد

آبان ۱۹, ۱۴۰۴

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا