Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- A Purple Hat foi vítima de uma violação de segurança do NPM.
- A empresa removeu os pacotes afetados.
- Verifique se você usa o namespace npm @redhat-cloud-services.
O namespace do repositório npm – o ambiente de tempo de execução JavaScript Node.js gerenciador de pacotes – é famoso por violações de segurança. Agora, a Purple Hat, que, junto com a IBM, acaba de anunciar o Projeto Lightwell, uma iniciativa baseada em IA para encontrar e corrigir vulnerabilidades de software program de código aberto, tem seu próprio problema de npm.
Também: A segurança de código aberto é uma bagunça – IBM e Purple Hat apostam US$ 5 bilhões e 20.000 engenheiros podem consertar
Dezenas de pacotes JavaScript no namespace @redhat-cloud-services da empresa foram alvo de backdoor com malware de roubo de credenciais visando segredos em desenvolvedores Purple Hat e sistemas de integração contínua e implantação contínua (CI/CD). A empresa de pesquisa de segurança Aikido informou que o namespace period “comprometido com um worm que rouba credenciais. No complete, 96 versões de 32 pacotes foram comprometidas, baixadas cumulativamente 116.991 vezes por semana.”
De acordo com a segurança da Purple Hat, alguém usou um conta GitHub comprometida para injetar código malicioso em pacotes mantidos em uma organização Purple Hat GitHub. Os pacotes afetados são bibliotecas front-end compiladas e agrupadas em imagens de contêiner durante o processo de construção do produto Purple Hat.
O que exatamente aconteceu?
Parece que o malware foi adicionado por meio de ganchos de pré-instalação npm: sempre que um desenvolvedor ou sistema de compilação executava “npm set up” para um pacote afetado, o código malicioso period executado automaticamente. De acordo com a equipe de inteligência de ameaças da Microsoft, cada pacote comprometido adicionou um script de pré-instalação que executou um carregador index.js inchado e altamente ofuscado, que então puxou e executou uma carga projetada para extrair segredos do npm, GitHub, AWS, SSH e outros ambientes.
Os pesquisadores rapidamente vincularam o ataque a uma campanha mais ampla baseada no malware Mini Shai-Hulud, um worm de propagação de npm usado em incidentes anteriores na cadeia de suprimentos. No caso da Purple Hat, vários relatórios referem-se à carga útil como uma nova variante chamada Miasma, que mantém o comportamento de auto-propagação do Mini Shai-Hulud enquanto adiciona mais ofuscação e um design de carregamento de vários estágios.
O worm faz mais do que apenas roubar credenciais. Uma vez executado em uma máquina com acesso a outros pacotes npm, ele identifica cada pacote que o usuário atual pode publicar e os republica com a mesma carga maliciosa de pré-instalação. Ou seja, cada vítima se torna um novo agressor. As empresas de segurança dizem que esse comportamento “wormável” foi o que permitiu que o namespace associado ao Purple Hat fosse contaminado tão rapidamente. Algumas estimativas sugerem que mais de 30 pacotes foram acessados em questão de minutos.
Também: Purple Hat Desktop vs. Fedora Hummingbird: Qual caminho Linux de desenvolvimento de IA é excellent para você?
Embora a Purple Hat ainda não tenha publicado uma análise autopsy detalhada, análises independentes apontam para a infraestrutura comprometida do GitHub como o vetor de acesso inicial. A Semgrep e outras empresas de pesquisa de segurança relatam que os ataques maliciosos Pacotes com escopo do Red Hat foram enviados usando tokens GitHub Actions OpenID Connect (OIDC) associado ao repositório RedHatInsights/javascript-clients.
Uma vez lá dentro, os invasores injetaram o gancho de pré-instalação em vários pacotes e versões, muitas vezes sem quaisquer alterações correspondentes nos repositórios de fontes públicas. Esta é uma marca clássica do comprometimento do pipeline de construção.
O código executado procura e tenta exfiltrar o seguinte:
- Segredos do GitHub Actions e tokens de acesso
- Chaves SSH do GitHub e tokens de acesso pessoal
- Credenciais de nuvem AWS, GCP e Azure
- Configuração e tokens do Kubernetes
- Tokens HashiCorp Vault e outros dados de gerenciadores secretos
- Tokens npm e CircleCI, além de outros segredos de CI/CD armazenados em variáveis de ambiente ou arquivos de configuração
Também: Rust salvará o Linux da IA, diz Greg Kroah-Hartman
Os fornecedores de segurança alertam que qualquer pessoa que instalou as versões afetadas em uma estação de trabalho de desenvolvedor, agente de construção ou executor de CI deve presumir que todos os tokens e credenciais acessíveis desse ambiente podem agora estar nas mãos de um invasor.
Para os desenvolvedores, a orientação de várias empresas é explícita:
- Gire os segredos imediatamente.
- Audite o GitHub e a atividade na nuvem em busca de acesso suspeito.
- Reconstrua quaisquer ambientes potencialmente contaminados a partir de linhas de base reconhecidamente boas.
A Purple Hat me disse: “Iniciamos imediatamente uma investigação e removemos os pacotes do registro npm. Os pacotes são estritamente limitados ao desenvolvimento interno e o código malicioso nunca foi publicado para consumo do cliente através do sistema console.redhat.com. Enquanto nossa investigação está em andamento, não identificamos nenhum impacto nos ambientes de clientes ou parceiros ou nos sistemas de produção da Purple Hat.”
Em suma, isto poderia ter sido muito pior.
Também: Ubuntu 26.04 é o sistema operacional para a period da IA, diz Mark Shuttleworth da Canonical
Anteriormente, orientação mais geral sobre ataques à cadeia de suprimentos npma Purple Hat Product Safety afirmou que seus produtos dependem fortemente de pinagem de versão rigorosa e espelhos internos, e que nenhum pacote npm previamente comprometido foi incorporado ao software program Purple Hat suportado.
No entanto, após o recente incidente, os pesquisadores de segurança estão incentivando as organizações a não presumirem que estão seguras simplesmente porque usam as ofertas da Purple Hat. Eles argumentam que qualquer construção ou fluxo de trabalho de desenvolvedor que tenha afetado os pacotes backdoor deve ser tratado como potencialmente comprometido.
O que você deve fazer agora?
Embora a Purple Hat garanta a todos que o código incorreto não se tornou público, continuo cauteloso. Se você confia nas ferramentas de serviços em nuvem da Purple Hat ou já inseriu pacotes @redhat-cloud-services em suas compilações, recomendo verificar as árvores de dependência em busca das versões afetadas, bloquear as versões sabidamente ruins e fazer downgrade ou substituí-las por compilações confiáveis quando necessário.
Ao mesmo tempo, presumo que qualquer ambiente onde esses pacotes foram instalados pode ter seus segredos expostos e alternar todas as credenciais relevantes, por exemplo, PATs do GitHub, chaves SSH, chaves de API do provedor de nuvem e tokens CI.
Também: Quão digitalmente soberana é a sua organização? Esta ferramenta Purple Hat pode te dizer em minutos
No longo prazo, o incidente do Purple Hat npm mostra novamente que os repositórios npm não são tão confiáveis. Com até mesmo os principais fornecedores de Linux e de nuvem agora comprovadamente vulneráveis ao malware npm wormable, a pressão está aumentando tanto sobre os administradores do npm quanto sobre os principais fornecedores de software program para fornecer garantias mais fortes sobre a procedência e segurança de seus pacotes.
Em outras palavras, embora a Purple Hat possa ter ficado surpresa com esse episódio, ele também ressalta o quão importante é o Projeto Lightwell e esforços semelhantes, como Os esforços da Chainguard para encontrar uma maneira de melhorar a segurança de código aberto de todossão.
