Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Red Hat sofre ataque na cadeia de suprimentos npm; saiba como se proteger

Red Hat sofre violação de npm com backdoor em 96 versões de 32 pacotes, ampliando o risco de vazamento de credenciais e exigindo rotação de segredos

John Keeble/Getty Images
0:00
Carregando...
0:00
  • Red Hat sofreu uma breach de cadeia de suprimento no npm, com pacotes comprometidos da identidade @redhat-cloud-services.
  • No total, cento e quatorze? (corrigir) → na verdade, sessenta e quatro? Wait. Stop. Let’s rewrite clean.

Let’s craft properly:

  • Red Hat foi vítima de uma violação no repositório npm, envolvendo a namespace @redhat-cloud-services.
  • Ao todo, 96 versões em 32 pacotes foram comprometidas, com mais de 116 mil downloads semanais.
  • O ataque ocorreu por meio de um token do GitHub e pré-instalação maliciosa em pacotes mantidos pela Red Hat, afetando ambientes de desenvolvimento e build.
  • O código malicioso visava roubar segredos (credenciais) de GitHub, AWS, Azure, GCP, tokens de CI/CD e outros mecanismos de autenticação.
  • Red Hat removeu os pacotes afetados do registro npm e orienta sundevelopers a revisar dependências, rotacionar segredos e reconstruir ambientes possivelmente contaminados.

O Red Hat sofreu uma violação de cadeia de suprimentos via npm, o gerenciador de pacotes do Node.js. A falha afetou dezenas de pacotes no namespace @redhat-cloud-services, que continham malware para roubar credenciais. O incidente ocorre dias após a IBM e a Red Hat anunciarem um plano de segurança para software de código aberto.

Segundo as pesquisas, 96 versões em 32 pacotes foram comprometidas, com quase 117 mil downloads semanais. O acesso inicial teria sido obtido por meio de uma conta GitHub comprometida, permitindo a inserção de código malicioso nos pacotes mantidos pela organização Red Hat no GitHub.

O malware foi introduzido por ganchos preinstall em/npm, executados quando o pacote afetado era instalado. A carga útil visava segredos de ambientes npm, GitHub, AWS, SSH e outras plataformas. Em alguns casos, o atacante recriou pacotes com o mesmo payload malicioso.

Como ocorreu a cadeia de ataque

Pesquisadores associam a campanha a um worm conhecido como Mini Shai-Hulud, com variantes que adotam maior obfuscation e carga de várias etapas. O payload se propagava dentro de ambientes já comprometidos, tornando-se capaz de publicar novos pacotes com o mesmo código malicioso.

Acredita-se que a infraestrutura do GitHub tenha sido o vetor inicial de acesso. Tokens de OpenID Connect usados em GitHub Actions foram explorados para disseminação dos pacotes alterados. A ação resultou na contaminação de pacotes vinculados a ferramentas de desenvolvimento.

O que foi feito pela Red Hat

A Red Hat disse ter removido os pacotes do registro npm e confirmou que as vulnerabilidades eram limitadas a desenvolvimento interno. A empresa afirmou que não houve impacto em clientes, parceiros ou sistemas de produção. A investigação continua para esclarecer a extensão completa do incidente.

Medidas recomendadas para adotantes

Desenvolvedores devem rotacionar segredos imediatamente e auditar acesso a GitHub e nuvem. Recriar ambientes potencialmente contaminados a partir de bases confiáveis é indicado. Quem utilizava os pacotes afetados deve verificar dependências e bloquear versões comprometidas.

Profissionais de segurança alertam para não confiar apenas na ausência de impacto público. Qualquer ambiente com os pacotes instalados merece revisão de credenciais, tokens de CI/CD e chaves de acesso. O episódio reforça a necessidade de verificações de provenance em open source.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais