安全公司Aikido与Socket于本周披露,Red Hat在npm包管理器上的官方命名空间@redhat-cloud-services遭到入侵,攻击者利用该渠道向超过30个软件包植入恶意代码,构成一起严重的供应链攻击。受影响包的总计96个版本周下载量超过11万次,开发者在npm install过程中即可能触发恶意负载,无需等待实际导入使用。
攻击路径与恶意行为
据研究者分析,攻击者获取了@redhat-cloud-services账户的凭证,具体途径尚不明确,但很可能源于先前的供应链攻击。恶意代码利用npm的preinstall钩子在安装阶段执行,绕过代码审查阶段直接收集敏感凭证:包括GitHub Actions密钥、npm令牌、Kubernetes和Vault凭据,以及其他云服务的认证信息。这些数据经加密后通过HTTP请求外传,若具备GitHub仓库写入权限,还会将加密数据提交至攻击者控制的仓库作为备用通道。
更危险的是,该恶意程序是一种蠕虫,设计为从已感染设备向其他可访问的第三方npm账户发布后门版本,实现横向扩散。研究人员将其命名为Shai-Hulud——此前曾以开源形式出现在网络上,并被黑客组织TeamPCP用于悬赏比赛(最高1000美元)。攻击者很可能直接使用了这份公开代码。
响应措施与后续风险
截至报道发布时,绝大多数受影响包已经下架,但部分仍可下载。Socket团队强调,任何安装过受影响版本的系统都应视为完全被入侵,需立即隔离并排查凭证泄露情况。由于恶意负载在npm install阶段触发,即使未在生产环境引用该包,CI/CD流水线中执行安装操作同样会造成危害。建议受影响的组织轮换所有可能暴露的密钥与令牌,检查第三方npm账户是否存在异常发布记录。
此次事件再次凸显npm生态中顶级命名空间的安全脆弱性——一旦官方账户凭证被窃,将直接波及其所有下游用户。对于依赖Red Hat云服务的开发团队,除关注官方安全公告外,也应将依赖锁定与完整性校验纳入常规流程,降低类似供应链攻击的影响。
本文参考来源:Ars Technica
微信扫描下方的二维码阅读本文
