Ataque activo a la cadena de suministro de npm afecta paquetes de Red Hat Cloud Services, más de 300 repositorios de GitHub afectados

Mensaje de Huoxing Caijing: el 2 de junio, SlowMist emitió una alerta de seguridad detectando un ataque activo a la cadena de suministro de npm dirigido a paquetes relacionados con @redhat-cloud-services. Se han confirmado más de 31 paquetes afectados, con aproximadamente 116 000 descargas semanales, y se han encontrado credenciales robadas en más de 300 repositorios de GitHub. La técnica de ataque es altamente similar al anterior ataque npm «Shai-Hulud», incluyendo robo de credenciales, creación de repositorios maliciosos y exfiltración automatizada de secretos. Actualmente siguen apareciendo nuevos repositorios sospechosos, lo que indica que el ataque aún está en curso y los desarrolladores continúan siendo infectados. Los riesgos potenciales incluyen: robo de tokens de GitHub/npm, filtración de credenciales de AWS/GCP/Azure, recolección de claves SSH y secretos de Kubernetes, exfiltración de datos del entorno local y billeteras, creación de repositorios maliciosos y operaciones de persistencia, e incluso comportamientos destructivos tras la revocación de los tokens. Se recomienda eliminar o reducir inmediatamente las versiones afectadas de los paquetes @redhat-cloud-services, auditar exhaustivamente los flujos de CI/CD y la instalación de dependencias, rotar todas las claves relacionadas con GitHub, npm, servicios en la nube, SSH y billeteras, conservar los registros y reconstruir las máquinas o Runners de desarrolladores expuestos a partir de imágenes limpias, manteniendo una alta vigilancia.