Selon Mars Finance, le 2 juin, SlowMist a publié une alerte de sécurité indiquant la détection d'une attaque active sur la chaîne d'approvisionnement npm ciblant les paquets liés à @redhat-cloud-services. Jusqu'à présent, plus de 31 paquets ont été confirmés comme affectés, avec environ 116 000 téléchargements hebdomadaires, et plus de 300 dépôts GitHub contiennent des identifiants volés. La méthode d'attaque est fortement similaire à celle précédemment utilisée dans l'attaque « Shai-Hulud » sur npm, incluant le vol d'identifiants, la création de dépôts malveillants et la fuite automatisée de secrets. De nouveaux dépôts suspects continuent d'apparaître, indiquant que l'attaque est toujours en cours et que les développeurs restent continuellement infectés. Les risques potentiels incluent : le vol de jetons GitHub/npm, la fuite d'identifiants cloud AWS/GCP/Azure, la collecte de clés SSH et de secrets Kubernetes, l'exfiltration de données d'environnements locaux et de portefeuilles, la création de dépôts malveillants et des opérations de persistance, ainsi que des actions destructrices pouvant survenir même après la révocation des jetons. Il est recommandé de supprimer ou de rétrograder immédiatement les versions affectées des paquets @redhat-cloud-services, d'auditer en profondeur les flux CI/CD et l'installation des dépendances, de renouveler toutes les clés liées à GitHub, npm, les services cloud, SSH et les portefeuilles, de conserver les journaux, et de reconstruire les machines ou runners développeurs exposés à partir d'images propres, tout en restant extrêmement vigilant.
Attaque active de chaîne d'approvisionnement npm ciblant les paquets Red Hat Cloud Services, plus de 300 dépôts GitHub affectés
MarsBitPartager
Résumé
Une attaque de réentrance a été identifiée dans une violation active de la chaîne d'approvisionnement npm ciblant les packages @redhat-cloud-services. Plus de 31 packages sont affectés, avec 116 000 téléchargements hebdomadaires. Plus de 300 dépôts GitHub contiennent des identifiants volés. Les attaquants utilisent des données sur chaîne pour automatiser les fuites de secrets et créer des dépôts malveillants. Les risques incluent le vol de jetons, l'exposition des identifiants cloud et des clés SSH. Les développeurs doivent auditer leurs dépendances, renouveler leurs clés et reconstruire les systèmes compromis. De nouveaux dépôts malveillants continuent d'apparaître, indiquant que l'attaque est en cours.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.