Más de 30 paquetes oficiales de Red Hat fueron comprometidos a través del canal @redhat-cloud-services en el registro de NPM, que un actor malicioso utilizó para distribuir un gusano informático capaz de robar credenciales y propagarse de forma autónoma entre sistemas. El ataque de cadena de suministro, detectado el lunes por los investigadores de la firma de seguridad Aikido, seguía activo en el momento de publicarse la alerta.
El canal afectado está reservado a paquetes legítimos de Red Hat y goza de amplia confianza entre los desarrolladores que dependen de sus servicios en la nube. Se desconoce el método exacto con el que el atacante tomó el control del espacio de nombres, aunque todo apunta al robo de credenciales, posiblemente a través de un ataque de cadena de suministro previo.
Los paquetes maliciosos ejecutan un payload ofuscado durante el proceso de npm install, antes de que el desarrollador importe o use el paquete en producción. Según el análisis de la firma Socket, el malware recopila secretos de GitHub Actions, tokens de NPM, credenciales de Kubernetes y Vault, y claves de otros servicios en la nube. Una vez infectado un sistema, cifra las credenciales y las envía mediante una solicitud web, con un mecanismo alternativo que publica los datos en un repositorio de GitHub previamente comprometido.
El gusano se propaga republicando paquetes infectados en cuentas de terceros a las que el dispositivo comprometido tenga acceso. En las horas posteriores al incidente, la mayoría —aunque no todos— los paquetes fueron retirados del registro. "Las organizaciones deben tratar cualquier sistema que haya instalado una versión afectada de los paquetes @redhat-cloud-services como potencialmente comprometido", advirtieron los investigadores de Socket.