該蠕蟲被稱為 Shai-Hulud,具有上個月免費發布的開源惡意軟體的所有特徵。 TeamPCP 是第一個使用 Shai-Hulud 的組織,他們發起了一項競賽,承諾向利用惡意軟體發起最大規模供應鏈攻擊的駭客支付 1,000 美元。 TeamPCP 也是先前一系列供應鏈攻擊的幕後黑手。由於該蠕蟲病毒已落入許多其他威脅組織手中,對供應鏈的攻擊可能會進一步增加。
惡意軟體非常關注 CI/CD(持續整合/持續交付)系統,該系統透過自動化創建、測試和部署程式碼變更的過程來實現更快、更可靠的軟體發布。週一攻擊中傳播的惡意軟體是透過 GitHub Actions OIDC (OpenID Connect) 部署的,這表明紅帽的 CI/CD 管道已受到損害。 OIDC 是一種安全措施,旨在透過使用臨時憑證與雲端服務進行互動。
一旦安裝,該惡意軟體就會針對其他組織的 CI/CD 憑證。紅帽 GitHub Actions OIDC 遭到駭客攻擊很可能是先前感染員工設備的供應鏈攻擊的結果。
在這篇文章發布後發送的一封電子郵件中,紅帽表示它已經刪除了惡意軟體包。
「軟體包嚴格限於內部開發,並且從未透過 console.redhat.com 系統發布惡意程式碼供客戶使用,」電子郵件中說。 “雖然我們的調查正在進行中,但我們尚未發現對客戶或合作夥伴環境或紅帽生產系統有任何影響。”
鑑於最近其他供應鏈攻擊的成功,任何在過去 36 小時內接觸過受影響軟體包之一的人都應該暴露在其工作站、CI/CD 管道以及雲端服務和儲存庫的所有憑證中。這意味著員工必須放下目前正在做的事情並徹底調查。
在最近一次針對 Checkmarx 的供應鏈攻擊中,該安全公司未能完全驅逐責任方。隨後,Checkmarx 又被擊中兩次。第一次攻擊中使用的 Checkmarx 憑證來自對軟體開發商 Trivy 的供應鏈攻擊。轉向 Checkmarx 及其未能完全修復最初的漏洞表明,從此類漏洞及其產生的風險中完全恢復是困難的。
Switch 和 Aikido 都有受影響的 Red Hat 軟體包和其他妥協指標的列表,任何可能受該問題影響的個人或組織都應立即利用這些指標。
該故事已更新,並添加了紅帽的評論。
發布日期: 2026-06-01 20:49:00
來源連結: arstechnica.com
