- Red Hat sofreu uma breach de cadeia de suprimento no npm, com pacotes comprometidos da identidade @redhat-cloud-services.
- No total, cento e quatorze? (corrigir) → na verdade, sessenta e quatro? Wait. Stop. Let’s rewrite clean.
Let’s craft properly:
- Red Hat foi vítima de uma violação no repositório npm, envolvendo a namespace @redhat-cloud-services.
- Ao todo, 96 versões em 32 pacotes foram comprometidas, com mais de 116 mil downloads semanais.
- O ataque ocorreu por meio de um token do GitHub e pré-instalação maliciosa em pacotes mantidos pela Red Hat, afetando ambientes de desenvolvimento e build.
- O código malicioso visava roubar segredos (credenciais) de GitHub, AWS, Azure, GCP, tokens de CI/CD e outros mecanismos de autenticação.
- Red Hat removeu os pacotes afetados do registro npm e orienta sundevelopers a revisar dependências, rotacionar segredos e reconstruir ambientes possivelmente contaminados.
O Red Hat sofreu uma violação de cadeia de suprimentos via npm, o gerenciador de pacotes do Node.js. A falha afetou dezenas de pacotes no namespace @redhat-cloud-services, que continham malware para roubar credenciais. O incidente ocorre dias após a IBM e a Red Hat anunciarem um plano de segurança para software de código aberto.
Segundo as pesquisas, 96 versões em 32 pacotes foram comprometidas, com quase 117 mil downloads semanais. O acesso inicial teria sido obtido por meio de uma conta GitHub comprometida, permitindo a inserção de código malicioso nos pacotes mantidos pela organização Red Hat no GitHub.
O malware foi introduzido por ganchos preinstall em/npm, executados quando o pacote afetado era instalado. A carga útil visava segredos de ambientes npm, GitHub, AWS, SSH e outras plataformas. Em alguns casos, o atacante recriou pacotes com o mesmo payload malicioso.
Como ocorreu a cadeia de ataque
Pesquisadores associam a campanha a um worm conhecido como Mini Shai-Hulud, com variantes que adotam maior obfuscation e carga de várias etapas. O payload se propagava dentro de ambientes já comprometidos, tornando-se capaz de publicar novos pacotes com o mesmo código malicioso.
Acredita-se que a infraestrutura do GitHub tenha sido o vetor inicial de acesso. Tokens de OpenID Connect usados em GitHub Actions foram explorados para disseminação dos pacotes alterados. A ação resultou na contaminação de pacotes vinculados a ferramentas de desenvolvimento.
O que foi feito pela Red Hat
A Red Hat disse ter removido os pacotes do registro npm e confirmou que as vulnerabilidades eram limitadas a desenvolvimento interno. A empresa afirmou que não houve impacto em clientes, parceiros ou sistemas de produção. A investigação continua para esclarecer a extensão completa do incidente.
Medidas recomendadas para adotantes
Desenvolvedores devem rotacionar segredos imediatamente e auditar acesso a GitHub e nuvem. Recriar ambientes potencialmente contaminados a partir de bases confiáveis é indicado. Quem utilizava os pacotes afetados deve verificar dependências e bloquear versões comprometidas.
Profissionais de segurança alertam para não confiar apenas na ausência de impacto público. Qualquer ambiente com os pacotes instalados merece revisão de credenciais, tokens de CI/CD e chaves de acesso. O episódio reforça a necessidade de verificações de provenance em open source.
Entre na conversa da comunidade