Атака Shai-Hulud: как скомпрометировали npm-пакеты Red Hat
Инфраструктура публикации пакетов @redhat-cloud-services оказалась под контролем злоумышленников. Десятки зараженных библиотек попали в публичный реестр npm.
Как сообщает Xakep, исследователи в области информационной безопасности зафиксировали атаку на цепочку поставок Red Hat. Целью стали официальные npm-пакеты под префиксом @redhat-cloud-services — библиотеки, которые используются в корпоративных проектах на базе экосистемы Red Hat.
Механика атаки классическая для supply chain: компрометация учетных записей или инфраструктуры публикации. После получения доступа злоумышленники выпустили обновления легитимных пакетов с внедренным вредоносным кодом. Разработчики, обновляющие зависимости через npm install, получали инфицированные версии.
Особенность в используемом инструменте — черве Shai-Hulud. По данным исследователей, в атаке задействован новый вариант под названием Miasma. Shai-Hulud специализируется на горизонтальном распространении внутри npm-экосистемы: заражает один пакет, затем через цепочку зависимостей пытается компрометировать связанные библиотеки и downstream-проекты.
Для проверов: пересоберите lock-файлы, проверьте хеши установленных версий @redhat-cloud-services против официальных сигнатур. Если используете эти пакеты в production — аудит логов сетевой активности на предмет неожиданных соединений. Red Hat, вероятно, уже отозвал скомпрометированные версии, но в локальных кэшах и приватных зеркалах они могут остаться.
Случай напоминает, что доверие к корпоративным пакетам не отменяет базовых практик: dependency pinning, проверка integrity-хешей, мониторинг аномалий в поведении библиотек. Supply chain остается самым уязвимым звеном — компрометация одного аккаунта мейнтейнера дает доступ к тысячам downstream-проектов.
