الليلة الماضية، اكتشفت العديد من شركات أمن الشبكات أن Red Hat قد أصدرت حزم برامج متعددة بحمولات ضارة على منصة NPM. استخدمت هذه الحمولات الضارة إصدارات مختلفة من فيروس Mini Shai-Hulud مفتوح المصدر. بعد الدخول إلى بيئة التطوير، يقومون بجمع وتشفير بيانات الاعتماد الحساسة المختلفة وتحميلها إلى الخوادم التي يتحكم فيها المتسللون. وفي الوقت نفسه، ستستخدم الدودة بيانات الاعتماد هذه لمواصلة الانتشار أفقيًا لإصابة المزيد من بيئات التطوير وسرقة المزيد من بيانات الاعتماد.
بعد التحقيق الأولي، يعتقد الباحثون الأمنيون أن مصدر الهجوم على سلسلة التوريد كان اختطاف حساب GitHub لمهندس Red Hat. استخدم المتسلل بعد ذلك آلية النشر الموثوق بها NPM لدفع حزم البرامج الضارة من رموز OIDC قصيرة المدى الصادرة في GitHub Actions. ليس من الواضح عدد مطوري المصب المتأثرين بالفعل، ولكن حزم البرامج هذه التي أصدرتها Red Hat مخصصة بشكل أساسي للاستخدام المؤسسي، لذا فإن معظم مطوري المصب المصابين هم أيضًا مطورون على مستوى المؤسسة.
يتم أيضًا تجاوز آلية النشر الموثوقة:
تهدف آلية النشر الموثوقة لدى NPM إلى إزالة رموز النشر طويلة المدى من خط أنابيب CI/CD وبدلاً من ذلك استخدام رموز OIDC قصيرة المدى الصادرة عن GitHub Actions لتحل محل هذه الرموز المميزة طويلة المدى. تم تصميم هذه الآلية في الأصل لتحسين الأمان وتجنب مشكلات الأمان الناتجة عن تسرب بيانات الاعتماد الصالحة طويلة المدى. ومع ذلك، أظهرت حالات الهجوم الأخيرة على سلسلة التوريد أنه إذا تمكن المهاجم من الوصول إلى خط أنابيب CI/CD من خلال ثغرة أمنية أو رمز مميز مسروق، فيمكن تجاوز آلية النشر الموثوق بها بالكامل.
في حالة الهجوم هذه، تم اختراق حساب GitHub الخاص بمهندس Red Hat ثم استخدمه المتسللون لدفع عمليات الإرسال اليتيمة الضارة مباشرة إلى مستودعات التعليمات البرمجية المتعددة. تجاوزت العملية برمتها أيضًا مراجعة التعليمات البرمجية. تحتوي هذه التقديمات اليتيمة على ملف سير العمل CI.YAML والبرنامج النصي _INDEX.JS. عند تشغيل سير العمل، سيقوم بتثبيت Bun وتنفيذ _INDEX.JS، ثم تمرير قائمة الحزم المستهدفة من خلال متغيرات البيئة. سيستخدم البرنامج النصي أيضًا الأذونات لطلب OIDC قصير المدى من GitHub. الرمز المميز، ثم استخدم الرمز المميز لدفع الحزمة التي تحتوي على الحمولة الضارة مباشرة إلى NPM.
إصدارات مختلفة من الديدان الرملية الصغيرة:
قام فريق TeamPCP، الذي كان مخصصًا سابقًا لهجمات سلسلة التوريد، بإصدار فيروس Shai-Hulud كمصدر مفتوح. الآن المزيد والمزيد من المتسللين يستخدمون هذه الدودة لتنفيذ الهجمات. تم تعديل الدودة التي يستخدمها المتسللون في حالة الهجوم هذه استنادًا إلى Sandworm، ولكنها تُستخدم بشكل أساسي لسرقة بيانات الاعتماد المختلفة في بيئة التطوير ومحاولة نشرها أفقيًا.
تتضمن أنواع بيانات الاعتماد المسروقة: مفاتيح GitHub Actions، ومفاتيح وصول AWS والرموز المميزة للجلسة، وبيانات اعتماد GCP الافتراضية وملفات مفاتيح خدمة الحساب، وبيانات اعتماد خدمة Azure الرئيسية ورموز الهوية المُدارة، ورموز نشر NPM وPYPI، ومفاتيح SSH، وبيانات اعتماد تسجيل Docker، ومفاتيح GPG، وأي ملفات .env موجودة في بيئة التطوير.