Cảnh báo bảo mật: Gói npm trên dịch vụ đám mây Red Hat bị tấn công chuỗi cung ứng đang hoạt động, hơn 300 kho lưu trữ GitHub chứa thông tin xác thực bị đánh cắp.

BlockBeats tin tức, ngày 2 tháng 6, SlowMist đã đưa ra cảnh báo an ninh, phát hiện một cuộc tấn công chuỗi cung ứng npm đang hoạt động, nhắm vào các gói phần mềm liên quan đến @redhat

-cloud-services. Hiện đã xác nhận hơn 31 gói bị ảnh hưởng, với lượng tải xuống hàng tuần khoảng 116.000 lần, và hơn 300 kho lưu trữ GitHub có chứa thông tin xác thực bị đánh cắp. Phương thức tấn công này rất giống với cuộc tấn công npm "Shai-Hulud" trước đây, bao gồm đánh cắp thông tin xác thực, tạo kho lưu trữ độc hại và tự động rò rỉ bí mật. Hiện tại, vẫn tiếp tục xuất hiện các kho lưu trữ đáng ngờ mới, cho thấy cuộc tấn công vẫn đang diễn ra và các nhà phát triển vẫn đang bị lây nhiễm liên tục.

Các mối nguy hại tiềm ẩn bao gồm: đánh cắp token GitHub/npm, rò rỉ thông tin xác thực đám mây AWS/GCP/Azure, thu thập khóa SSH và bí mật Kubernetes, rò rỉ môi trường cục bộ và dữ liệu ví, tạo kho lưu trữ độc hại và các thao tác duy trì, thậm chí có thể gây ra hành vi phá hoại sau khi token bị thu hồi. Khuyến nghị ngay lập tức gỡ bỏ hoặc hạ cấp các phiên bản gói @redhat-cloud-services bị ảnh hưởng, kiểm tra toàn diện quy trình CI/CD và cài đặt phụ thuộc, thay đổi tất cả các khóa liên quan đến GitHub, npm, dịch vụ đám mây, SSH và ví, giữ lại nhật ký, và xây dựng lại máy phát triển hoặc Runner đã bị lộ từ hình ảnh sạch, đồng thời duy trì cảnh giác cao độ.