Red Hat : des dizaines de packages piratés via NPM

Introduction

Une attaque de la chaîne d'approvisionnement a été découverte, impliquant des comptes officiels Red Hat sur NPM. Les attaquants ont utilisé ces comptes pour diffuser un ver malveillant qui vole des informations d'identification sensibles.

Contexte Technique

Les attaquants ont pris le contrôle du canal @redhat-cloud-services, réservé aux packages officiels Red Hat sur NPM. Plus de 30 packages ont été compromis et exécutent une charge utile obscurcie lors du processus d'installation npm. Cette charge utile est conçue pour collecter des informations d'identification sensibles, notamment des secrets GitHub, des jetons npm, des matériaux Kubernetes et Vault, ainsi que des informations d'identification pour d'autres services cloud.

Analyse et Implications

Les implications de cette attaque sont graves, car les packages compromis peuvent être utilisés pour voler des informations d'identification et accéder à des systèmes sensibles. Les organisations qui ont installé l'un des packages affectés doivent considérer leurs systèmes comme potentiellement compromis. La charge utile malveillante peut s'exécuter pendant le processus d'installation npm, avant même que le code de l'application n'importe ou n'utilise le package.

Perspective

Il est essentiel de surveiller de près les comptes NPM et les packages utilisés pour éviter de telles attaques. Les organisations doivent également mettre en place des mesures de sécurité robustes pour protéger leurs informations d'identification et leurs systèmes sensibles. La limite de cette attaque est qu'elle a été découverte et que la plupart des packages compromis ont été supprimés, mais il est important de rester vigilant pour prévenir de futures attaques de la chaîne d'approvisionnement.