Системи Red Hat піддаються атаці через npm пакети

Нещодавно кілька npm пакетів під назвою @redhat-cloud-services зазнали компрометації в результаті атаки на ланцюг постачання. Внаслідок цього зловмисне програмне забезпечення, що викрадає облікові дані, було введене в фронтенд-пакети, які використовуються в проектах Red Hat Cloud Services.

Деталі атаки та зловмисного програмного забезпечення

Компанія Aikido повідомила про цей інцидент, виявивши компрометовані пакети 1 червня 2026 року. Атака вразила 96 версій у 32 пакетах, які разом склали 116,991 завантажень на тиждень.

Зловмисне програмне забезпечення, визнане як Miasma, було інтегровано через зловмисний скрипт preinstall. Це дало можливість завантаженню працювати автоматично під час встановлення пакету npm, навіть до виконання коду програми.

Аналіз зловмисного програмного забезпечення Miasma

Aikido описує Miasma як черв’яка, що викрадає облікові дані, подібного до Mini Shai-Hulud, раніше зафіксованої сім’ї зловмисного ПЗ. Зловмисний код був сильно зашифрований і поміщено в файл index.js. Файли package.json були змінені так, щоб автоматично виконувати його під час інсталяції.

Атака націлилася на широкий спектр чутливих облікових даних, які зазвичай виявляються у середовищах розробників і CI/CD. Аналіз показує, що зловмисне програмне забезпечення намагалося зібрати токени GitHub Actions, облікові дані AWS, Google Cloud, Azure, токени HashiCorp Vault і багато інших.

Важливість інциденту та рекомендації для користувачів

Цей інцидент має велике значення, оскільки уражені пакети були опубліковані через GitHub Actions OIDC, а не за допомогою традиційних довгострокових npm токенів. Це свідчить про компрометацію конвеєра CI/CD, де зловмисники зловживали довіреними публікаціями після отримання доступу до шляху робочого процесу.

Red Hat випустила бюлетень з безпеки, в якому заявила, що на кілька пакетів у @redhat-cloud-services npm-просторі було вплинуто. Попереднє розслідування виявило, що був використаний скомпрометований обліковий запис GitHub для введення шкідливого коду у пакети.

Фахівці обробної команди Red Hat видалили скомпрометовані версії з npm після розкриття інформації, а команда продакт-безпеки оцінює будівельні системи та залежності, щоб визначити чи включали скомпрометовані версії до продуктів.

Рекомендації для розробників

У поточному бюлетені Red Hat зазначено, що на даний момент жодних дій з боку клієнтів не потрібно. Розслідування триває, і бюлетень буде оновлено за новими даними. Aikido рекомендує розробникам і компаніям, які встановили скомпрометовані версії пакетів після 1 червня 2026 року, вважати CI-секрети, облікові дані хмари, SSH-ключі та токени npm скомпрометованими і терміново їх замінити.

Список уражених пакетів

Список скомпрометованих пакетів включає:

• @redhat-cloud-services/chrome
• @redhat-cloud-services/frontend-components
• @redhat-cloud-services/frontend-components-config
• @redhat-cloud-services/frontend-components-notifications
• @redhat-cloud-services/insights-client
• @redhat-cloud-services/rbac-client
• @redhat-cloud-services/vulnerabilities-client
• Інші в межах @redhat-cloud-services.

Цей інцидент не вплине на Red Hat Enterprise Linux. Він стосується npm пакетів під назвою Red Hat Cloud Services.

Команди, які використовують ці пакети, повинні терміново переглянути дерева залежностей, файли lock, журнали CI і артефакти збірки на предмет скомпрометованих версій. Будь-яке середовище, в якому була встановлена скомпрометована версія пакета, слід вважати потенційно уразливим.

Розслідування Red Hat триває.