Beveiligingsonderzoekers hebben kwaadaardige code ontdekt in tientallen npm-paketten die onder de naam van Red Hat werden gepubliceerd. De besmette packages maakten volgens onderzoekers deel uit van een supply chain-aanval waarbij malware werd verspreid via een gecompromitteerd GitHub-account van een medewerker.
Onderzoekers van beveiligingsbedrijf Wiz spreken van een actieve dreiging. Zij troffen malware aan in ten minste 32 package-versies binnen de Red Hat Cloud Services-omgeving. Volgens hun analyse worden de betrokken packages gezamenlijk ongeveer 80.000 keer per week gedownload. Beveiligingsbedrijf Socket kwam zelfs uit op 95 getroffen versies.
De aanvallers zouden toegang hebben gekregen tot een GitHub-account van een Red Hat-medewerker. Vervolgens werden wijzigingen rechtstreeks naar twee repositories van Red Hat Insights gepusht, waarbij de gebruikelijke controleprocedures werden omzeild. Via die route belandde de schadelijke code uiteindelijk in packages die via npm beschikbaar waren.
Malware actief tijdens installatie
De besmette packages bevatten een zogenoemde preinstall-hook. Daardoor wordt de malware al uitgevoerd zodra een ontwikkelaar een packages installeert met npm. Het gebruik van de software zelf is daarvoor niet eens nodig.
Uit onderzoek van Socket blijkt dat de malware gericht is op het verzamelen van gevoelige gegevens uit ontwikkel- en cloudomgevingen. Daarbij gaat het onder meer om GitHub Actions-secrets, npm-tokens, cloudreferenties, Kubernetes-configuraties, Vault-gegevens en SSH-sleutels. Ook bevat de code mechanismen om gestolen informatie versleuteld af te voeren en mogelijk nieuwe besmettingen te veroorzaken.
Volgens Wiz en Socket vertoont de malware sterke overeenkomsten met de Mini Shai-Hulud-worm. Deze malwarefamilie richt zich specifiek op softwareontwikkelaars en CI/CD-omgevingen en kwam eerder dit jaar al in verband met meerdere grootschalige supply chain-aanvallen.
Een complicerende factor is dat de ontwikkelaars van de malware, die worden aangeduid als TeamPCP, de broncode eerder openbaar beschikbaar maakten. Daardoor is niet vast te stellen of dezelfde groep achter de nieuwe aanval zit of dat een andere actor de code heeft hergebruikt.
De naam Shai-Hulud verwijst naar de gigantische zandwormen uit de sciencefictionreeks Dune. De malware werd eerder al gekoppeld aan de besmetting van honderden npm-packages en duizenden GitHub-repositories.
Red Hat onderzoekt incident
Red Hat heeft bevestigd op de hoogte te zijn van het incident. Tegenover The Register verklaarde het bedrijf dat de betrokken packages onmiddellijk uit de npm-registry zijn verwijderd en dat een onderzoek is gestart.
Volgens Red Hat waren de getroffen packages uitsluitend bedoeld voor interne ontwikkeldoeleinden en maakten zij geen deel uit van de software die klanten via console.redhat.com ontvangen. Het bedrijf zegt vooralsnog geen aanwijzingen te hebben gevonden dat klantomgevingen, partnersystemen of eigen productiesystemen zijn getroffen.
Beveiligingsonderzoekers adviseren organisaties die een van de besmette package-versies hebben geïnstalleerd om uit voorzorg alle betrokken toegangsgegevens en tokens te vervangen. De kans bestaat dat deze gegevens tijdens de installatie van de packages zijn buitgemaakt.