Wiz บริษัทความปลอดภัยซอฟต์แวร์รายงานแพ็กเกจ npm ของ Red Hat ในกลุ่ม @redhat-cloud-services จำนวน 32 แพ็กเกจถูกฝังมัลแวร์ โดยล่าสุดทีมงาน Red Hat ถอนแพ็กเกจเหล่านี้ออกเกือบหมดแล้ว

มัลแวร์ที่ฝังมาเป็นกลุ่ม Shai-Hulud ที่มุ่งขโมยกุญแจ API ของเหยื่อ เช่น กุญแจ Google Cloud, Azure

จากการตรวจสอบพบว่าคนร้ายน่าจะแฮกบัญชี GitHub ของพนักงาน Red Hat คนหนึ่ง จากนั้นจึง push code ขึ้น branch รองของ RedHatInsights โดยการ push โค้ดนี้เพื่อแก้ไข workflow ให้รันโค้ดที่วางไว้เพื่อขโมยโทเค็น npm ออกมาจาก GitHub Actions อีกทีหนึ่ง เมื่อได้โทเค็นมาแล้ว คนร้ายก็สามารถสร้างแพ็กเกจเวอร์ชั่นใหม่ได้เอง

ตอนนี้ทาง Red Hat ถอนแพ็กเกจเหล่านี้ออกจาก npm ไปแล้วแต่สำหรับองค์กรที่กังวลทาง Wiz แนะนำให้ตรวจสอบเครื่องของนักพัฒนา, ระบบ CI/CD, และ repository และหากไม่แน่ใจก็อาจจะเปลี่ยนกุญแจต่างๆ อีกครั้ง

ที่มา - Wiz