SlowMist: Gói dịch vụ đám mây Red Hat bị tấn công chuỗi cung ứng npm, ảnh hưởng hơn 300 kho GitHub

SlowMist cho biết đang có một vụ tấn công chuỗi cung ứng npm nhắm vào các gói dịch vụ đám mây của Red Hat.

Cuộc tấn công đã ảnh hưởng hơn 31 gói, với khoảng 116.000 lượt tải mỗi tuần. Theo ghi nhận, hơn 300 kho GitHub chứa thông tin xác thực bị đánh cắp, và các dấu hiệu kỹ thuật khá giống những đợt tấn công npm trước đó liên quan đến Shai-Hulud.

SlowMist cho biết các hành vi đáng ngờ gồm đánh cắp token GitHub và npm, lấy thông tin xác thực AWS, GCP, Azure, thu thập khóa SSH và Kubernetes, cũng như truy cập dữ liệu môi trường cục bộ và dữ liệu ví.

Trên GitHub, việc tìm theo thẻ “Miasma: The Spreading Blight” và sắp xếp theo cập nhật gần đây vẫn cho thấy các kho lưu trữ mới xuất hiện. Điều này cho thấy hoạt động xâm nhập có thể vẫn đang diễn ra.

Khuyến nghị được nêu là gỡ bỏ hoặc hạ phiên bản các gói bị ảnh hưởng, rà soát pipeline CI/CD và bước cài đặt phụ thuộc, xoay vòng các khóa và thông tin xác thực liên quan, đồng thời kiểm tra lại các máy phát triển hoặc môi trường chạy đã lộ bằng bản cài đặt sạch.