Κυβερνοασφάλεια

Επίθεση στα npm πακέτα της Red Hat: 30+ αποθετήρια παραδίδουν κλέφτη cloud διαπιστευτηρίων

2 Ιουνίου 20266 λεπτά ανάγνωση

By Λίνα Πετρόφ — 8 χρόνια αξιολόγησης καταναλωτικής τεχνολογίας

Επίθεση στα npm πακέτα της Red Hat: 30+ αποθετήρια παραδίδουν κλέφτη cloud διαπιστευτηρίων

Μια συντονισμένη εκστρατεία κλοπής cloud διαπιστευτηρίων μέσω επίθεσης στην αλυσίδα εφοδιασμού του npm χτύπησε ένα από τα πιο αναγνωρίσιμα ονόματα στο εταιρικό λογισμικό. Άγνωστοι επιτιθέμενοι παραβίασαν περισσότερα από 30 npm πακέτα των Red Hat Cloud Services, αφού πρώτα κατέλαβαν τον λογαριασμό GitHub ενός υπαλλήλου της Red Hat και στη συνέχεια χρησιμοποίησαν αυτή την πρόσβαση για να προωθήσουν κακόβουλες αλλαγές. Το κακόβουλο λογισμικό που ενσωματώθηκε στα πακέτα, το οποίο αναγνωρίστηκε ως παραλλαγή του στελέχους «Mini Shai‑Hulud», εκτελείται αυτόματα τη στιγμή της εγκατάστασης και αρχίζει αμέσως να υποκλέπτει cloud διαπιστευτήρια, συμπεριλαμβανομένων κλειδιών πρόσβασης AWS, GCP και Azure, καθώς και κλειδιών SSH και αρχείων ρυθμίσεων Kubernetes.

Το περιστατικό αυτό ξεχωρίζει όχι λόγω κάποιας αδυναμίας του ίδιου του npm, αλλά εξαιτίας του τρόπου εισόδου των επιτιθεμένων: μέσω μιας νόμιμης, έμπιστης ταυτότητας προγραμματιστή.

Πώς παραβιάστηκαν τα npm πακέτα της Red Hat

Η αλυσίδα της επίθεσης ξεκίνησε με την παραβίαση ενός μεμονωμένου λογαριασμού GitHub που ανήκε σε υπάλληλο της Red Hat. Μόλις οι επιτιθέμενοι απέκτησαν πρόσβαση σε αυτόν τον λογαριασμό, είχαν τα απαραίτητα δικαιώματα για να προωθήσουν κώδικα απευθείας στα αποθετήρια που συνδέονταν με τα npm πακέτα των Red Hat Cloud Services. Επειδή οι αλλαγές προέρχονταν από αναγνωρισμένο λογαριασμό συνεισφέροντα, τα αυτοματοποιημένα pipelines και οι αξιολογητές αντιμετώπιζαν σημαντικά μεγαλύτερο εμπόδιο για να εντοπίσουν κάτι ύποπτο.

Αυτό είναι το καθοριστικό χαρακτηριστικό μιας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού: το κακόβουλο φορτίο ταξιδεύει μέσα σε νόμιμο λογισμικό, υπογεγραμμένο και διανεμημένο μέσω έμπιστων καναλιών. Οι προγραμματιστές που εγκατέστησαν ή ενημέρωσαν οποιοδήποτε από τα επηρεαζόμενα πακέτα κατά το χρονικό διάστημα της παραβίασης θα εκτελούσαν εν αγνοία τους το κακόβουλο λογισμικό στα δικά τους συστήματα, χωρίς καμία προφανή προειδοποίηση. Τα ίδια τα πακέτα συνέχιζαν να λειτουργούν κανονικά, καθιστώντας τον εντοπισμό ακόμη δυσκολότερο.

Η παραλλαγή του κακόβουλου λογισμικού «Mini Shai‑Hulud» είναι ειδικά σχεδιασμένη για να εκτελείται κατά την εγκατάσταση, τη στιγμή που ένας προγραμματιστής πληκτρολογεί npm install. Δεν περιμένει την εκκίνηση της εφαρμογής ούτε την αλληλεπίδραση του χρήστη. Αυτή η προσέγγιση μειώνει δραστικά το χρονικό διάστημα μεταξύ της μόλυνσης και της υποκλοπής.

Ποια διαπιστευτήρια εκλάπησαν και γιατί έχουν σημασία

Η λίστα στόχων του κακόβουλου λογισμικού μοιάζει με κατάλογο των πιο επιζήμιων πραγμάτων που θα μπορούσε να αποσπάσει ένας επιτιθέμενος από τον σταθμό εργασίας ενός προγραμματιστή ή από έναν runner CI/CD. Τα αρχεία διαπιστευτηρίων AWS, Google Cloud Platform και Azure αποτελούν πρωταρχικούς στόχους, καθώς αυτά τα κλειδιά συχνά φέρουν εκτεταμένα δικαιώματα σε υποδομές παραγωγής. Τα ιδιωτικά κλειδιά SSH και τα αρχεία ρυθμίσεων Kubernetes συμπληρώνουν τη συλλογή, δίνοντας στους επιτιθέμενους πιθανές διαδρομές πλευρικής κίνησης προς εσωτερικά δίκτυα και συμπλέγματα ενορχήστρωσης containers.

Για οργανισμούς που εκτελούν αυτοματοποιημένα pipelines παραγωγής, ο κίνδυνος έκθεσης πολλαπλασιάζεται. Τα συστήματα CI/CD συχνά αποθηκεύουν μακρόβια cloud διαπιστευτήρια ως μεταβλητές περιβάλλοντος ή προσαρτημένα μυστικά. Ένας και μόνο μολυσμένος runner θα μπορούσε σιωπηλά να παραδώσει κλειδιά που ελέγχουν ολόκληρα cloud περιβάλλοντα, ανοίγοντας ενδεχομένως τον δρόμο για υποκλοπή δεδομένων, ανάπτυξη ransomware ή μόνιμη κερκόπορτα πρόσβασης.

Αυτός είναι και ο λόγος που οι ομάδες ασφαλείας πρέπει να έχουν κατά νου ότι τα σημεία εισόδου στην εφοδιαστική αλυσίδα συχνά οδηγούν σε βαθύτερη παραβίαση του συστήματος. Η πρόσφατη επισήμανση από τη CISA του CVE-2026-31431, μιας ευπάθειας κλιμάκωσης προνομίων σε Linux, αποτελεί άμεση υπενθύμιση: οι επιτιθέμενοι που αποκτούν πρόσβαση σε ένα σύστημα μέσω κλεμμένων διαπιστευτηρίων ή αρχικής πρόσβασης σπάνια σταματούν εκεί. Αναζητούν τον επόμενο κρίκο στην αλυσίδα.

Γιατί οι επιθέσεις στην αλυσίδα εφοδιασμού αποτελούν τυφλό σημείο για τη συμβατική ασφάλεια

Τα συμβατικά εργαλεία ασφαλείας έχουν δομηθεί με την παραδοχή ότι ο εξωτερικός, μη υπογεγραμμένος ή άγνωστος κώδικας είναι η απειλή. Τα τείχη προστασίας, οι πράκτορες ανίχνευσης τελικών σημείων και οι σαρωτές που βασίζονται σε υπογραφές είναι ρυθμισμένοι να επισημαίνουν ανωμαλίες. Οι επιθέσεις στην αλυσίδα εφοδιασμού ανατρέπουν αυτό το μοντέλο, κρύβοντας το κακόβουλο λογισμικό μέσα σε λογισμικό που φέρει νόμιμη υπογραφή και φτάνει μέσω αναμενόμενου καναλιού.

Σε αυτή την περίπτωση, το εμπορικό σήμα της Red Hat και το σχετικό ιστορικό του λογαριασμού GitHub θα προσέδιδαν στα παραβιασμένα πακέτα υψηλό βαθμό σιωπηρής εμπιστοσύνης. Προγραμματιστές που εργάζονται σε υποδομές σχετικές με τη Red Hat ενδέχεται να εγκατέστησαν αυτά τα πακέτα ακριβώς επειδή ανέμεναν ότι ήταν καλά συντηρημένα και ασφαλή.

Τα τυπικά εργαλεία σάρωσης εξαρτήσεων που ελέγχουν για γνωστές ευάλωτες εκδόσεις δεν θα εντόπιζαν κλέφτες διαπιστευτηρίων που ενεργοποιούνται κατά την εγκατάσταση, εκτός εάν η κακόβουλη έκδοση είχε ήδη επισημανθεί σε κάποια βάση δεδομένων ευπαθειών. Η επίθεση εκμεταλλεύεται το κενό μεταξύ του εντοπισμού «γνωστού κακού» και της ανάλυσης συμπεριφοράς.

Επιστρωμένη άμυνα: Διαχείριση μυστικών, κατάτμηση δικτύου και VPN

Κανένα μεμονωμένο μέτρο δεν σταματά μια εξελιγμένη επίθεση στην αλυσίδα εφοδιασμού, αλλά η επιστρωμένη άμυνα μπορεί να μειώσει σημαντικά την ακτίνα έκρηξης.

Διαχείριση μυστικών αντί για τοπικά αρχεία διαπιστευτηρίων. Ο πιο αποτελεσματικός μετριασμός είναι η πλήρης εξάλειψη των στατικών αρχείων διαπιστευτηρίων από τα μηχανήματα των προγραμματιστών και τους runners CI/CD. Εργαλεία που εκδίδουν βραχύβια διαπιστευτήρια τη στιγμή που χρειάζονται σημαίνουν ότι ακόμη και αν ένα διαπιστευτήριο κλαπεί, λήγει προτού ο επιτιθέμενος μπορέσει να το χρησιμοποιήσει ουσιαστικά.

Καρφίτσωμα εξαρτήσεων και επαλήθευση ακεραιότητας. Το κλείδωμα των πακέτων σε συγκεκριμένα, επαληθευμένα hashes αλλαγών αντί για κυμαινόμενα εύρη εκδόσεων περιορίζει την έκθεση σε απροσδόκητες αλλαγές κώδικα. Ο συνδυασμός αυτού με αυτοματοποιημένους ελέγχους ακεραιότητας στο περιεχόμενο των πακέτων προσθέτει άλλο ένα επίπεδο ανίχνευσης.

Κατάτμηση δικτύου και φιλτράρισμα εξερχόμενης κίνησης. Το κακόβουλο λογισμικό Mini Shai‑Hulud χρειάζεται να στείλει κάπου τα κλεμμένα δεδομένα. Ο περιορισμός των εξερχόμενων συνδέσεων από τα περιβάλλοντα παραγωγής και τα μηχανήματα των προγραμματιστών σε γνωστά τελικά σημεία μπορεί να αποτρέψει την υποκλοπή ακόμη και όταν το κακόβουλο λογισμικό εκτελεστεί επιτυχώς. Τα VPN και οι αρχιτεκτονικές δικτύου μηδενικής εμπιστοσύνης μπορούν να επιβάλλουν αυτές τις πολιτικές εξερχόμενης κίνησης με συνέπεια σε κατανεμημένες ομάδες.

Πολυπαραγοντικός έλεγχος ταυτότητας σε κάθε λογαριασμό προγραμματιστή. Η αρχική παραβίαση εδώ ήταν η κατάληψη λογαριασμού GitHub. Ισχυρές απαιτήσεις MFA, ιδίως κλειδιά ασφαλείας υλικού ή έλεγχος ταυτότητας βασισμένος σε passkeys, καθιστούν την κατάληψη λογαριασμού σημαντικά δυσκολότερη.

Παρακολούθηση συμπεριφοράς σε pipelines CI/CD. Η ειδοποίηση για απροσδόκητα εξερχόμενα ερωτήματα DNS ή συνδέσεις δικτύου κατά τη φάση της παραγωγής μπορεί να αποκαλύψει κακόβουλο λογισμικό που εκτελείται κατά την εγκατάσταση προτού χρησιμοποιηθούν τα κλεμμένα διαπιστευτήρια.

Τι σημαίνει αυτό για εσάς

Εάν το περιβάλλον ανάπτυξης ή λειτουργίας σας εξαρτάται από οποιαδήποτε npm πακέτα των Red Hat Cloud Services, η άμεση προτεραιότητα είναι να ελέγξετε ποιες εκδόσεις πακέτων χρησιμοποιούνται, να αναζητήσετε ενδείξεις παραβίασης στα αρχεία καταγραφής δικτύου γύρω από τα γεγονότα εγκατάστασης και να ανακυκλώσετε τυχόν cloud διαπιστευτήρια που μπορεί να υπήρχαν στα επηρεαζόμενα συστήματα.

Γενικότερα, αυτό το περιστατικό αποτελεί αφορμή για να επανεξετάσετε τη συνολική υγιεινή των cloud διαπιστευτηρίων σας. Αποθηκεύονται τα διαπιστευτήρια ως αρχεία σε μηχανήματα προγραμματιστών; Είναι οι μεταβλητές περιβάλλοντος CI/CD περιορισμένες με την αρχή των ελάχιστων δικαιωμάτων; Επιβάλλεται MFA σε κάθε λογαριασμό με δικαιώματα δημοσίευσης πακέτων;

Οι επιθέσεις στην αλυσίδα εφοδιασμού επιτυγχάνουν εκμεταλλευόμενες την εμπιστοσύνη. Το αντίμετρο είναι η οικοδόμηση συστημάτων που δεν βασίζονται αποκλειστικά σε σιωπηρή εμπιστοσύνη – οι επαληθευμένες ταυτότητες, τα χρονικά περιορισμένα μυστικά και η παρακολούθηση συμπεριφοράς είναι το θεμέλιο. Ξεκινήστε σήμερα με έναν έλεγχο διαπιστευτηρίων και αντιμετωπίστε κάθε εξάρτηση ως πιθανή επιφάνεια επίθεσης που αξίζει εξονυχιστικό έλεγχο.

// FAQ

Τι συνέβη με τα npm πακέτα της Red Hat;

Πάνω από 30 npm πακέτα των Red Hat Cloud Services παραβιάστηκαν αφού οι επιτιθέμενοι κατέλαβαν τον λογαριασμό GitHub ενός υπαλλήλου της Red Hat και προώθησαν κακόβουλες αλλαγές που περιείχαν μια παραλλαγή κακόβουλου λογισμικού κλοπής διαπιστευτηρίων με την ονομασία Mini Shai‑Hulud.

Πώς παραβίασαν οι επιτιθέμενοι τα πακέτα;

Πρώτα παραβίασαν τον λογαριασμό GitHub ενός υπαλλήλου της Red Hat και στη συνέχεια χρησιμοποίησαν αυτή τη νόμιμη ταυτότητα προγραμματιστή για να προωθήσουν μολυσμένο κώδικα απευθείας στα αποθετήρια, παρακάμπτοντας τους αυτοματοποιημένους ελέγχους εμπιστοσύνης.

Τι είναι το κακόβουλο λογισμικό Mini Shai‑Hulud και πώς λειτουργεί;

Είναι ένας κλέφτης διαπιστευτηρίων που εκτελείται αυτόματα κατά την εγκατάσταση του πακέτου (`npm install`), συλλέγοντας αμέσως κλειδιά πρόσβασης cloud, κλειδιά SSH και αρχεία ρυθμίσεων Kubernetes από το σύστημα-στόχο.

Ποια διαπιστευτήρια στόχευαν οι επιτιθέμενοι;

Το κακόβουλο λογισμικό στόχευε αρχεία διαπιστευτηρίων AWS, Google Cloud Platform και Azure, καθώς και ιδιωτικά κλειδιά SSH και αρχεία ρυθμίσεων Kubernetes, τα οποία μπορούν να παρέχουν ευρεία πρόσβαση σε υποδομές παραγωγής.

Γιατί τα pipelines CI/CD είναι ιδιαίτερα ευάλωτα σε αυτή την επίθεση;

Οι runners CI/CD συχνά αποθηκεύουν μακρόβια cloud διαπιστευτήρια ως μεταβλητές περιβάλλοντος ή προσαρτημένα μυστικά, οπότε ένας μολυσμένος runner μπορεί αθόρυβα να διαρρεύσει κλειδιά που ελέγχουν ολόκληρα cloud περιβάλλοντα.

Επίθεση στα npm πακέτα της Red Hat: 30+ αποθετήρια παραδίδουν κλέφτη cloud διαπιστευτηρίων

Πώς παραβιάστηκαν τα npm πακέτα της Red Hat

Ποια διαπιστευτήρια εκλάπησαν και γιατί έχουν σημασία

Γιατί οι επιθέσεις στην αλυσίδα εφοδιασμού αποτελούν τυφλό σημείο για τη συμβατική ασφάλεια

Επιστρωμένη άμυνα: Διαχείριση μυστικών, κατάτμηση δικτύου και VPN

Τι σημαίνει αυτό για εσάς

// FAQ

// Σχετικά