Slow Fog: Gói npm của dịch vụ đám mây Red Hat bị tấn công chuỗi cung ứng, thông tin xác thực bị đánh cắp xuất hiện trong hơn 300 kho lưu trữ GitHub
SlowMist đã đưa ra cảnh báo bảo mật về một cuộc tấn công chuỗi cung ứng npm đang diễn ra nhắm vào các gói liên quan đến @redhat-cloud-services. Hiện tại, hơn 31 gói đã được xác nhận bị ảnh hưởng với khoảng 116.000 lượt tải xuống mỗi tuần, cùng thông tin xác thực bị đánh cắp trong hơn 300 kho lưu trữ GitHub. Phương thức tấn công này rất giống với cuộc tấn công npm "Shai-Hulud" trước đây, bao gồm việc đánh cắp thông tin xác thực, tạo các kho lưu trữ độc hại và tự động làm rò rỉ bí mật. Các kho lưu trữ đáng ngờ mới liên tục xuất hiện, cho thấy cuộc tấn công vẫn đang tiếp diễn và các nhà phát triển vẫn đang bị lây nhiễm.
Các tác hại tiềm ẩn bao gồm: đánh cắp token GitHub/npm, rò rỉ thông tin xác thực đám mây AWS/GCP/Azure, thu thập khóa SSH và bí mật Kubernetes, rò rỉ dữ liệu môi trường cục bộ và ví, tạo kho lưu trữ độc hại và thực hiện các hành vi duy trì quyền truy cập, thậm chí là các hành động phá hoại sau khi token bị thu hồi. Khuyến nghị người dùng nên gỡ bỏ hoặc hạ cấp ngay các phiên bản gói @redhat-cloud-services bị ảnh hưởng, tiến hành kiểm tra toàn diện quy trình CI/CD và các phần phụ thuộc đã cài đặt, thay đổi tất cả các khóa GitHub, npm, dịch vụ đám mây, SSH và các khóa liên quan đến ví, lưu giữ nhật ký, đồng thời cài đặt lại các máy phát triển hoặc Runner bị lộ từ các bản sao sạch và duy trì cảnh giác cao độ.



