هجوم نشط على سلسلة التوريد npm يستهدف حزم خدمات Red Hat السحابية، ويؤثر على أكثر من 300 مستودع GitHub

موقع Mars Finance يُفيد أنه في 2 يونيو، أصدرت SlowMist تحذيرًا أمنيًا يفيد باكتشاف هجوم نشط على سلسلة توريد npm يستهدف حزم مرتبطة بـ @redhat-cloud-services. تم تأكيد تأثر أكثر من 31 حزمة، مع حوالي 116 ألف تنزيل أسبوعي، ووجود بيانات اعتماد مسروقة في أكثر من 300 مستودع على GitHub. تشبه هذه الطريقة الهجوم السابق "Shai-Hulud" على npm بشكل كبير، بما في ذلك سرقة بيانات الاعتماد، وإنشاء مستودعات خبيثة، وتسريب الأسرار تلقائيًا. لا تزال المستودعات المشبوهة الجديدة تظهر، مما يدل على استمرار الهجوم وإصابة المطورين باستمرار. تشمل المخاطر المحتملة: سرقة رموز GitHub/npm، تسريب بيانات اعتماد AWS/GCP/Azure، جمع مفاتيح SSH وأسرار Kubernetes، تسريب بيانات البيئة المحلية والمحفظة، إنشاء مستودعات خبيثة وعمليات التثبيت الدائم، وحتى سلوك تدميري محتمل حتى بعد إلغاء الرمز. يُوصى بإزالة أو تخفيض إصدارات الحزم المتأثرة @redhat-cloud-services فورًا، وتدقيق شامل لسير عمل CI/CD وتثبيت التبعيات، وتغيير جميع المفاتيح المرتبطة بـ GitHub وnpm وخدمات السحابة وSSH والمحفظة، والاحتفاظ بالسجلات، وإعادة بناء أجهزة المطورين أو Runners المعرضة من صور نظيفة، مع الحفاظ على درجة عالية من الحذر.