Red Hat npm csomagok kompromittálódtak a beszállítói lánc támadás során

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Több npm csomag, amelyek a Red Hat

@redhat-cloud-services

névtér alatt találhatók, kompromittálódtak egy beszállítói lánc támadás során, amely során hitelesítő adatokat lopó rosszindulatú szoftvert injektáltak a Red Hat felhőszolgáltatásaihoz használt frontend csomagokba.

A biztonsági cég, az Aikido, nyilvánosságra hozta az esetet, amelyben arról számolt be, hogy a kompromittált csomagokat 2026. június 1-jén észlelték. A támadás 32 csomag 96 verzióját érintette, amelyek összesen 116,991 heti letöltést tettek ki.

A rosszindulatú szoftvert, amelyet Miasmának neveztek el, egy káros preinstall szkripten keresztül ágyazták be. Ez lehetővé tette, hogy a payload automatikusan fusson az npm install során, még az alkalmazás kód végrehajtása előtt, és látható figyelmeztetés nélkül a fejlesztők számára.

Az Aikido a Miasmát egy hitelesítő adatokat lopó féregként írja le, amely hasonló a Mini Shai-Huludhoz, egy korábban megfigyelt beszállítói lánc rosszindulatú szoftver családhoz. A payload erősen obfuszkált volt, és egy

index.js

fájlba került, míg a

package.json

fájlokat úgy módosították, hogy automatikusan végrehajtsák azt a telepítés során.

A támadás széles spektrumú érzékeny hitelesítő adatokat célozott meg, amelyek általában a fejlesztői és CI/CD környezetekben találhatók. Az Aikido elemzése szerint a rosszindulatú szoftver megpróbálta összegyűjteni a GitHub Actions tokeneket, AWS, Google Cloud és Azure hitelesítő adatokat, HashiCorp Vault tokeneket, Kubernetes szolgáltatásfiók tokeneket és kubeconfig fájlokat, npm és PyPI publikálási tokeneket, SSH privát kulcsokat, Docker registry hitelesítő adatokat, GPG kulcsokat és

.env

fájlokat.

Ez a kompromittálódás figyelemre méltó, mivel az érintett csomagokat GitHub Actions OIDC-n keresztül publikálták, nem pedig hagyományos, hosszú élettartamú npm publikálási tokenekkel. Az Aikido szerint ez CI/CD pipeline kompromittálódására utal, ahol a támadók kihasználták a tokenekkel való publikálást, miután hozzáférést szereztek a munkafolyamat útvonalához.

A Red Hat közzétett egy biztonsági közleményt, RHSB-2026-006, amelyben kijelentette, hogy több csomag a

@redhat-cloud-services

npm névtér alatt érintett. Az elsődleges vizsgálat arra utal, hogy egy kompromittált GitHub fiókot használtak a rosszindulatú kód csomagokba való beillesztésére, amelyeket egy Red Hat GitHub szervezet karbantartott.

Továbbá, a Red Hat arról számolt be, hogy az érintett csomagok frontend könyvtárak, amelyeket a termék build folyamata során néhány konténerképbe fordítanak és csomagolnak. A mérnöki csapat a nyilvánosságra hozatal után eltávolította a kompromittált verziókat az npm-ből, és a Red Hat Termékbiztonsági csapata áttekinti a build rendszereket és a függőségeket, hogy meghatározza, vajon bármely termék build tartalmazta-e a kompromittált verziókat.

A Red Hat aktuális közleménye szerint jelenleg nincs szükség ügyféltől érkező intézkedésre. A vizsgálat folyamatban van, és a közleményt frissítik, ahogy új információk kerülnek napvilágra.

Az Aikido azt tanácsolja a fejlesztőknek és a cégeknek, akik 2026. június 1. után telepítették az érintett csomagverziókat, hogy kezeljék a CI titkokat, felhőhitelesítő adatokat, SSH kulcsokat és npm tokeneket kompromittáltnak, és azonnal forgassák meg őket.

Az érintett csomagok listája a következőket tartalmazza:

@redhat-cloud-services/chrome
@redhat-cloud-services/frontend-components
@redhat-cloud-services/frontend-components-config
@redhat-cloud-services/frontend-components-notifications
@redhat-cloud-services/insights-client
@redhat-cloud-services/rbac-client
@redhat-cloud-services/vulnerabilities-client
  • Mások a
@redhat-cloud-services
  • npm névtér alatt.

Fontos megjegyezni, hogy ez az incidens nem érinti a Red Hat Enterprise Linuxot. Az npm csomagok a Red Hat felhőszolgáltatásainak névterében találhatók, és azok fejlesztési és publikálási munkafolyamatait érinti.

Affected csomagokat használó csapatoknak azonnal át kell nézniük a függőségi fákat, a lockfile-okat, a CI naplókat és a build artefaktumokat a kompromittált verziók után. Bármely környezetet, ahol rosszindulatú csomagverziót telepítettek, potenciálisan ki van téve, különösen, ha a telepítés CI runnerben, fejlesztői munkaállomáson vagy titkokhoz hozzáférő build rendszeren történt.

A Red Hat vizsgálata továbbra is folyamatban van.