يعود الهجوم إلى سيطرة المهاجم على القناة الرسمية @redhat-cloud-services في مستودع npm، وهي قناة معتمدة لحزم ريد هات الرسمية. ونظراً لهذا الاعتماد، فإن المطورين الذين يعتمدون على خدمات ريد هات السحابية يثقون بها بشدة.
كيف حدث الاختراق؟
ما زال من غير الواضح كيف تمكن المهاجم من السيطرة على المساحة الاسمية (namespace)، لكن من شبه المؤكد أنه نتج عن اختراق بيانات الاعتماد اللازمة للوصول إليها، وربما عبر هجوم سابق في سلسلة التوريد. ويبدو أن أكثر من 30 حزمة تأثرت. وتنفيذ هذه الحزم حمولة خبيثة مبهمة يمكنها العمل أثناء عملية تثبيت npm، التي تحدث قبل أن يستورد المطور الحزمة أو يستخدمها في بيئة الإنتاج.
أفادت شركة Socket الأمنية أن تحليلها للبرمجية الخبيثة كشف أنها مصممة لجمع بيانات اعتماد حساسة، بما في ذلك أسرار إجراءات جيت هاب، ورموز npm، وبيانات كubernates وفولت، و بيانات اعتماد أخرى للخدمات السحابية. ثم تنتشر الدودة بإعادة نشر حزم مخترقة إلى حسابات خارجية يمكن للجهاز المصاب الوصول إليها. وقد تم إزالة معظم هذه الحزم، لكن ليس جميعها، في الساعات التي تلت الحادث.
«يجب على المؤسسات التعامل مع أي نظام قام بتثبيت إحدى إصدارات الحزم المتأثرة من @redhat-cloud-services على أنه محتمل الاختراق»، كتب باحثو شركة Socket. «تنفذ الحمولة أثناء تثبيت npm، قبل أن يستورد الكود التطبيقي الحزمة أو يستخدمها، لذا فإن التعرض يعتمد على عملية التثبيت أو تنفيذ CI، وليس على الاستخدام أثناء التشغيل».
عند إصابة النظام، تقوم الدودة بتشفير بيانات الاعتماد وإرسالها عبر طلب ويب. كما توفر آلية احتياطية لنشر البيانات المشفرة في مستودع جيت هاب مخترق، في حال امتلاكها بيانات الاعتماد اللازمة لذلك.
دودة شاي هولود: أصلها وانتشارها
تحمل الدودة اسم «شاي هولود»، ولها جميع سمات البرمجيات الخبيثة التي تم إصدارها الشهر الماضي كمصدر مفتوح متاح مجاناً. وكانت مجموعة TeamPCP أول من استخدم شاي هولود، وقدمت مسابقة وعدت بمكافأة قدرها 1000 دولار للمخترق الذي ينفذ أكبر هجوم في سلسلة التوريد باستخدام هذه البرمجية. كما تقف TeamPCP خلف سلسلة من هجمات سلسلة التوريد السابقة. والآن بعد أن أصبحت الدودة في أيدي العديد من المجموعات الأخرى، قد تزداد هجمات سلسلة التوريد بشكل أكبر.
تولي الدودة اهتماماً كبيراً لأنظمة CI/CD (التكامل المستمر والتسليم المستمر)، التي تسمح بإصدار برامج أسرع وأكثر موثوقية من خلال أتمتة بناء الكود واختباره ونشره. وقد تم نشر البرمجية الخبيثة في هجوم الاثنين عبر GitHub Actions OIDC (OpenID Connect)، مما يشير إلى أن أنبوب CI/CD الخاص بريد هات قد تم اختراقه. ويعتبر OIDC إجراء أمنياً مصمماً للتفاعل مع الخدمات السحابية باستخدام بيانات اعتماد مؤقتة. وبمجرد التثبيت، تستهدف الدودة بيانات اعتماد CI/CD الخاصة بمؤسسات أخرى.
من المحتمل جداً أن يكون اختراق OIDC الخاص بريد هات ناتجاً عن هجوم سابق في سلسلة التوريد أصاب جهاز أحد الموظفين. ولم يرد مسؤولو ريد هات على بريد إلكتروني seeking تفاصيل.
التحقيق الفوري: ضرورة قصوى
نظراً لنجاح هجمات سلسلة التوريد الحديثة الأخرى، يجب على أي شخص لمس إحدى الحزم المتأثرة في الساعات الـ 36 الماضية أن يفترض أن محطات العمل وأنابيب CI/CD وبيانات الاعتماد لجميع الخدمات السحابية والمستودعات قد تم اختراقها. وهذا يعني أن الموظفين يجب أن يتوقفوا عما يفعلونه فوراً ويبدأوا التحقيق بشكل شامل.
في هجوم حديث في سلسلة التوريد أصاب Checkmarx، فشلت الشركة الأمنية في القضاء تماماً على المسؤولين عن الهجوم. ثم تعرضت Checkmarx لهجمتين إضافيتين. وجاءت بيانات الاعتماد المستخدمة في الهجوم الأول من هجوم سلسلة توريد على مطور برنامج Trivy. ويوضح التحول إلى Checkmarx وصعوبة القضاء الكامل على الاختراق الأولي مدى صعوبة التعافي تماماً من مثل هذه الثغرات الأمنية والمخاطر الناتجة عنها.
لدى كل من شركة Socket وAikido قوائم بالحزم المتأثرة من ريد هات ومؤشرات أخرى للاختراق يجب على أي شخص أو مؤسسة محتملة الاستفادة منها فوراً.
