Worm nazvan Shai-Hulud ima sve karakteristike zlonamjernog softvera koji je objavljen prošlog mjeseca kao slobodan i otvoren izvor. Tim TeamPCP bio je prva grupa koja je koristila Shai-Hulud, promovirajući natjecanje koje je obećavalo nagradu od 1,000 dolara za hakera koji bi izveo najveći napad na opskrbni lanac koristeći taj zlonamjerni softver. TimPCP je također bio odgovoran za niz prethodnih napada na opskrbni lanac. S obzirom na to da je worm sada u rukama mnogih drugih prijetnji, napadi na opskrbni lanac mogli bi se dodatno povećati.
Zlonamjerni softver posvećuje značajnu pozornost CI/CD (kontinuirana integracija/kontinuirana isporuka) sustavima, koji omogućuju brže i pouzdanije objavljivanje softvera automatizacijom izrade, testiranja i implementacije promjena u kodu. Zlonamjerni softver koji se proširio u napadu u ponedjeljak objavljen je putem GitHub Actions OIDC (OpenID Connect), što ukazuje na to da je CI/CD cjevovod Red Hata bio kompromitiran. OIDC je sigurnosna mjera osmišljena za interakciju s uslugama u oblaku putem privremenih vjerodajnica.
Jednom kada se instalira, zlonamjerni softver cilja vjerodajnice CI/CD drugih organizacija. Kompromitacija Red Hatovog GitHub Actions OIDC vjerojatno je rezultat prethodnog napada na opskrbni lanac koji je zarazio računalo zaposlenika.
U e-pošti poslanom nakon što je ovaj post objavljen, Red Hat je rekao da je uklonio zlonamjerne pakete. “Paketi su strogo ograničeni na internu razvojnu upotrebu, a zlonamjerni kod nikada nije objavljen za potrošnju korisnika putem sustava console.redhat.com,” navodi se u e-pošti. “Iako je naša istraga u tijeku, nismo identificirali nikakav utjecaj na okruženja kupaca ili partnera ili na Red Hatove produkcijske sustave.”
Uzimajući u obzir uspjeh drugih nedavnih napada na opskrbni lanac, svatko tko je koristio jedan od pogođenih paketa u posljednja 36 sati trebao bi pretpostaviti kompromitaciju svojih radnih stanica, CI/CD cjevovoda i svih vjerodajnica za usluge u oblaku i spremišta. To znači da zaposlenici trebaju odmah prekinuti sve aktivnosti i temeljito istražiti.
U nedavnom napadu na opskrbni lanac koji je pogodio Checkmarx, sigurnosna tvrtka nije uspjela potpuno ukloniti odgovornu stranu. Checkmarx je zatim pogođen još dva puta. Vjerodajnice Checkmarxa korištene u prvom napadu došle su iz napada na opskrbni lanac na programera softvera Trivy. Premještanje na Checkmarx i neuspjeh u potpunom saniranju prvobitnog proboja pokazuje težinu potpune obnove nakon takvih sigurnosnih propusta i rizike koji iz toga proizlaze.
Oba Socket i Aikido imaju popise pogođenih Red Hat paketa i druge pokazatelje kompromitacije koje bi svaka potencijalno pogođena osoba ili organizacija trebala odmah iskoristiti.
