El gusano, apodado Shai-Hulud, tiene todas las características de un malware liberado el mes pasado como código abierto disponible gratuitamente. TeamPCP fue el primer grupo en utilizar Shai-Hulud y promovió una competencia que prometía un pago de 1.000 dólares al hacker que llevara a cabo el mayor ataque a la cadena de suministro utilizando el malware. TeamPCP también ha estado detrás de una serie de ataques anteriores a la cadena de suministro. Ahora que el gusano está en manos de muchos otros grupos de amenazas, es posible que los ataques a las cadenas de suministro solo aumenten.
Este malware está recibiendo mucha atención CI/CD (integración continua/entrega continua), que permite lanzamientos de software más rápidos y confiables al automatizar la creación, prueba e implementación de cambios de código. El malware difundido en el ataque del lunes se publicó a través de GitHub Actions OIDC (OpenID Connect), lo que indica que el canal CI/CD de Red Hat se había visto comprometido. OIDC es una medida de seguridad diseñada para interactuar con los servicios en la nube mediante el uso de credenciales temporales.
Una vez instalado, el malware apunta a las credenciales de CI/CD de otras organizaciones. El compromiso del OIDC de GitHub Actions de Red Hat probablemente fue el resultado de un ataque anterior a la cadena de suministro que infectó las máquinas de los empleados.
En un correo electrónico enviado después de que se publicara esta publicación, Red Hat dijo que había eliminado el paquete malicioso.
“El paquete se limitaba estrictamente al desarrollo interno y el código malicioso nunca se publicó para el consumo de los clientes a través del sistema console.redhat.com”, decía el correo electrónico. “Si bien nuestra investigación está en curso, no hemos identificado ningún impacto en los entornos de clientes o socios o en los sistemas de producción de Red Hat”.
Dado el éxito reciente de otros ataques a la cadena de suministro, cualquiera que toque uno de los paquetes afectados en las últimas 36 horas debe asumir que su estación de trabajo, su canal de CI/CD y todas las credenciales de sus servicios y repositorios en la nube se verán comprometidos. Eso significa que los empleados deben dejar de hacer lo que estén haciendo ahora mismo e investigarlo a fondo.
En el reciente ataque a la cadena de suministro que afectó a Checkmarx, la empresa de seguridad no logró desalojar por completo a los responsables. Luego, Checkmarx recibió dos golpes más. Las credenciales de Checkmarx utilizadas en el primer ataque provinieron de un ataque a la cadena de suministro contra el desarrollador de software Trivy. El cambio a Checkmarx y su incapacidad para remediar completamente la brecha inicial demuestran la dificultad de recuperarse completamente de tales fallas de seguridad y los riesgos que resultan de ellas.
Ellos dos Toma de corriente Y Aikido tiene una lista de paquetes de Red Hat afectados y otros indicadores de compromiso que cualquier persona u organización potencialmente afectada debería utilizar de inmediato.
Historia actualizada para agregar los comentarios de Red Hat.
