A Red Hat hétfőn több tucat fertőzött szoftvercsomagot távolított el, miután egy kompromittált GitHub-fiókon keresztül támadók hitelesítő adatok ellopására alkalmas kártevőt juttattak el fejlesztőkhöz. A vállalat előzetes vizsgálata szerint összesen 32 érintett csomag került a támadók célkeresztjébe, amelyeket hetente mintegy 117 ezer alkalommal töltöttek le.
A Red Hat közlése szerint a csomagokat eltávolították, és jelenlegi ismereteik alapján az ügyfeleknek nincs szükségük azonnali intézkedésekre. Az incidens a GitHub-fiókok és fejlesztői hitelesítő adatok védelmének fontosságára is ráirányítja a figyelmet a nyílt forráskódú ökoszisztémában.
A támadás egy Mini Shai-Hulud nevű önterjedő féreg módosított változatára épült. A Tenable kutatói szerint a malware npm és PyPI-csomagoka és GitHub-tokeneket célzott, hogy további rendszerekre és szoftverprojektekre terjedhessen át.
Az eredeti kártevő forráskódját májusban tette közzé a TeamPCP néven ismert kiberbűnözői csoport, amely egyben versenyt is hirdetett a legnagyobb szoftverellátási láncot érintő támadás végrehajtására. A most terjesztett Miasma nevű malware csak kisebb kozmetikai módosításokat tartalmazott, miközben a hitelesítő adatok ellopására szolgáló funkciók változatlanok maradtak. A CISA korábban figyelmeztette a szervezeteket a Shai-Hulud-kampányok jelentette kockázatokra, és a fejlesztői hitelesítő adatok cseréjét, valamint az érintett rendszerek átvizsgálását javasolta.
Az eset egy hosszabb ideje tartó ellátásilánc-támadási hullám újabb állomása. Az elmúlt hónapokban több ismert fejlesztői eszköz és nyílt forráskódú projekt is célponttá vált, köztük a LiteLLM, az axios JavaScript-könyvtár és a TanStack projekt.
Az OpenAI korábban megerősítette, hogy a TanStack elleni Mini Shai-Hulud-kampány két munkavállalói eszközét is érintette, ugyanakkor nem talált bizonyítékot ügyféladatok vagy éles rendszerek kompromittálására. A szakértők szerint a kompromittált fejlesztői környezetekből és ellopott hozzáférési adatokból származó kockázatok még hosszú ideig érezhetők lesznek, mivel ezek újabb szoftverellátási láncokat érintő támadásokhoz, vállalati rendszerek feltöréséhez, zsarolóvírusos incidensekhez és akár kriptovaluta-lopásokhoz is vezethetnek.