कल रात, कई नेटवर्क सुरक्षा कंपनियों ने पाया कि Red Hat ने NPM प्लेटफ़ॉर्म पर दुर्भावनापूर्ण पेलोड के साथ कई सॉफ़्टवेयर पैकेज जारी किए थे। इन दुर्भावनापूर्ण पेलोड में मिनी शाई-हुलुद ओपन सोर्स वर्म के विभिन्न संस्करणों का उपयोग किया गया था। विकास परिवेश में प्रवेश करने के बाद, वे विभिन्न संवेदनशील क्रेडेंशियल एकत्र और एन्क्रिप्ट करेंगे और उन्हें हैकर्स द्वारा नियंत्रित सर्वर पर अपलोड करेंगे। साथ ही, कीड़ा इन क्रेडेंशियल्स का उपयोग अधिक विकास परिवेशों को संक्रमित करने और अधिक क्रेडेंशियल्स चुराने के लिए पार्श्व रूप से फैलता रहेगा।
प्रारंभिक जांच के बाद, सुरक्षा शोधकर्ताओं का मानना है कि आपूर्ति श्रृंखला हमले का स्रोत रेड हैट इंजीनियर के GitHub खाते का अपहरण था। इसके बाद हैकर ने GitHub Actions में जारी अल्पकालिक OIDC टोकन से मैलवेयर पैकेजों को पुश करने के लिए NPM विश्वसनीय प्रकाशन तंत्र का उपयोग किया। यह स्पष्ट नहीं है कि कितने डाउनस्ट्रीम डेवलपर्स वास्तव में प्रभावित हुए थे, लेकिन रेड हैट द्वारा जारी किए गए ये सॉफ़्टवेयर पैकेज मुख्य रूप से एंटरप्राइज़ उपयोग के लिए हैं, इसलिए अधिकांश संक्रमित डाउनस्ट्रीम डेवलपर्स भी एंटरप्राइज़-स्तरीय डेवलपर्स हैं।
विश्वसनीय प्रकाशन तंत्र को भी दरकिनार कर दिया गया है:
एनपीएम के विश्वसनीय प्रकाशन तंत्र का लक्ष्य सीआई/सीडी पाइपलाइन से दीर्घकालिक प्रकाशन टोकन को हटाना है और इसके बजाय ऐसे दीर्घकालिक टोकन को बदलने के लिए गिटहब एक्शन द्वारा जारी अल्पकालिक ओआईडीसी टोकन का उपयोग करना है। यह तंत्र मूल रूप से सुरक्षा में सुधार और दीर्घकालिक वैध क्रेडेंशियल्स के रिसाव के कारण होने वाली सुरक्षा समस्याओं से बचने के लिए डिज़ाइन किया गया था। हालाँकि, हाल के आपूर्ति श्रृंखला हमले के मामलों से पता चला है कि यदि कोई हमलावर भेद्यता या चोरी हुए टोकन के माध्यम से सीआई/सीडी पाइपलाइन तक पहुंच प्राप्त करता है, तो विश्वसनीय प्रकाशन तंत्र को पूरी तरह से बायपास किया जा सकता है।
इस हमले के मामले में, एक Red Hat इंजीनियर के GitHub खाते से छेड़छाड़ की गई और फिर हैकर्स द्वारा दुर्भावनापूर्ण अनाथ सबमिशन को सीधे कई कोड रिपॉजिटरी में धकेलने के लिए उपयोग किया गया। पूरी प्रक्रिया में कोड समीक्षा को भी दरकिनार कर दिया गया। इन अनाथ सबमिशन में वर्कफ़्लो फ़ाइल CI.YAML और स्क्रिप्ट _INDEX.JS शामिल थी। जब वर्कफ़्लो चल रहा है, तो यह बन स्थापित करेगा और _INDEX.JS निष्पादित करेगा, और फिर इसे पर्यावरण चर के माध्यम से लक्ष्य पैकेज सूची पास करेगा। स्क्रिप्ट GitHub से अल्पकालिक OIDC का अनुरोध करने के लिए अनुमतियों का भी उपयोग करेगी। टोकन, और फिर दुर्भावनापूर्ण पेलोड वाले पैकेज को सीधे एनपीएम पर भेजने के लिए टोकन का उपयोग करें।
मिनी सैंडवर्म के विभिन्न संस्करण:
टीमपीसीपी टीम, जो पहले आपूर्ति श्रृंखला हमलों के लिए समर्पित थी, ने शाई-हुलुद वर्म को एक खुले स्रोत के रूप में जारी किया। अब अधिक से अधिक हैकर्स हमलों को अंजाम देने के लिए इस वर्म का उपयोग कर रहे हैं। इस हमले के मामले में हैकर्स द्वारा इस्तेमाल किया गया वर्म सैंडवर्म के आधार पर संशोधित किया गया है, लेकिन इसका उपयोग अनिवार्य रूप से विकास के माहौल में विभिन्न क्रेडेंशियल चुराने और इसे क्षैतिज रूप से फैलाने का प्रयास करने के लिए किया जाता है।
चुराए गए क्रेडेंशियल के प्रकारों में शामिल हैं: GitHub एक्शन कुंजियाँ, AWS एक्सेस कुंजियाँ और सत्र टोकन, GCP डिफ़ॉल्ट क्रेडेंशियल और खाता सेवा कुंजी फ़ाइलें, Azure सेवा प्रिंसिपल क्रेडेंशियल और प्रबंधित पहचान टोकन, NPM और PYPI प्रकाशन टोकन, SSH कुंजियाँ, डॉकर रजिस्ट्री क्रेडेंशियल, GPG कुंजियाँ, और पूरे विकास परिवेश में पाई गई कोई भी .env फ़ाइलें।