Varios paquetes npm oficiales de @redhat-cloud-services se vieron comprometidos con un gusano de robo de credenciales derivado del malware de código abierto Mini Shai-Hulud, que ataca las credenciales en la nube y las herramientas de desarrollo en los flujos de CI/CD.
En total, 96 versiones de 32 paquetes se vieron comprometidas, con un total acumulado de 116.991 descargas semanales. Dado que las herramientas se hicieron públicas, otros ciberdelincuentes ahora tienen acceso a las mismas técnicas y pueden replicarlas o adaptarlas. Los paquetes se publicaron a través de GitHub Actions OIDC, lo que indica que la canalización de CI/CD se vio comprometida, y no un token de npm. Si ha instalado alguna versión de paquete afectada desde el 1 de junio de 2026, considere comprometidos todos los secretos de CI, credenciales en la nube, claves SSH y tokens de npm, y rótelos inmediatamente.
Cronología de la campaña Mini Shai-Hulud
La carga útil incrustada en los paquetes afectados presenta un gran parecido con Mini Shai-Hulud, el malware para la cadena de suministro publicado como código abierto por TeamPCP. Curiosamente, esta versión se autodenomina "Miasma" y parece haber reemplazado las conocidas referencias a Dune de Shai-Hulud con elementos de la mitología griega.
TeamPCP es un grupo de ciberdelincuentes que lleva varios meses realizando ataques dirigidos a la cadena de suministro de CI/CD. Su malware Mini Shai-Hulud es un sofisticado gusano que roba credenciales y se propaga republicando versiones con puertas traseras de paquetes a los que la cuenta de la víctima tiene acceso. Anteriormente informamos sobre vulnerabilidades que afectaban a Mistral and TanStack, Microsoft's Durable Task, PyTorch Lightning, Bitwarden CLI, e Intercom, todas ellas vinculadas a las mismas herramientas.
Cuando TeamPCP publicó el código fuente de Mini Shai-Hulud, la amenaza se extendió más allá de un único actor. Ahora, cualquier grupo puede adoptar el framework, adaptarlo e implementarlo contra nuevos objetivos.
Omisión de la publicación segura
La publicación segura es un mecanismo que npm introdujo para eliminar los tokens de publicación de larga duración de las canalizaciones de CI/CD, reemplazándolos por tokens OIDC de corta duración emitidos por GitHub Actions. Se diseñó para ser más seguro, pero como demuestran ataques recientes, puede eludirse si un atacante obtiene acceso a una canalización de CI/CD a través de una vulnerabilidad o un token comprometido.
"Descubrimos que la cuenta de GitHub de un empleado de Red Hat fue comprometida y utilizada para enviar commits huérfanos maliciosos directamente a varios repositorios, omitiendo por completo la revisión de código. Estos commits huérfanos contenían un archivo de flujo de trabajo (ci.yaml) y un script (_index.js).", declaró Aikido
¿Qué roba?
Al igual que en ataques anteriores de Mini Shai-Hulud, la carga útil realiza un escaneo exhaustivo de credenciales en proveedores de la nube, entornos de CI/CD y herramientas de desarrollo. En el lado de CI, apunta a secretos de GitHub Actions, incluidos GITHUB_TOKEN y ACTIONS_RUNTIME_TOKEN.
Para credenciales en la nube, recopila claves de acceso y tokens de sesión de AWS, credenciales predeterminadas de aplicaciones de GCP y archivos de claves de cuentas de servicio, y credenciales de entidades de servicio de Azure y tokens de identidad administrada. También busca tokens de HashiCorp Vault, tokens de cuentas de servicio de Kubernetes y archivos kubeconfig, tokens de publicación de npm y PyPI, claves privadas SSH, credenciales de registro de Docker, claves GPG y cualquier archivo .env que encuentre en el sistema de archivos.
Fuente: Aikido
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!