数十个Red Hat软件包通过其官方NPM渠道被植入后门

# 数十个 Red Hat 软件包通过其官方 NPM 渠道被植入后门 来源：https://arstechnica.com/security/2026/06/dozens-of-red-hat-packages-backdoored-through-its-offical-npm-channel/ 这种被命名为 Shai-Hulud 的蠕虫具有上个月作为开源免费软件发布的恶意程序的所有特征。TeamPCP 是第一个使用 Shai-Hulud 的组织，它发起了一场竞赛，承诺向使用该恶意软件实施最大规模供应链攻击的黑客支付 1000 美元。TeamPCP 也策划了此前一系列供应链攻击。现在，该蠕虫已落入许多其他威胁组织之手，供应链攻击可能进一步升级。 该恶意软件重点关注 CI/CD（持续集成/持续交付）系统，这类系统通过自动化代码变更的构建、测试和部署，实现更快、更可靠的软件发布。周一攻击中传播的恶意代码是通过 GitHub Actions OIDC（OpenID Connect）发布的，这表明 Red Hat 的 CI/CD 管道已被攻陷。OIDC 是一种通过使用临时凭证与云服务交互的安全措施。一旦安装，恶意软件会针对其他组织的 CI/CD 凭证。Red Hat 的 GitHub Actions OIDC 被攻陷，很可能是此前一次供应链攻击感染了某位员工的机器所致。 在这篇文章发布后发送的一封电子邮件中，Red Hat 表示已删除恶意软件包。 “这些软件包严格限于内部开发，恶意代码从未通过 console.redhat.com 系统发布给客户使用，”邮件中写道。“虽然我们的调查仍在进行中，但我们尚未发现对客户或合作伙伴环境以及 Red Hat 生产系统造成任何影响。” 鉴于近期其他供应链攻击的成功案例，任何在过去 36 小时内接触过受影响软件包的人员，都应假定其工作站、CI/CD 管道以及所有云服务和仓库的凭证已被攻陷。这意味着员工应立即放下手头工作，进行彻底调查。 在近期一次针对 Checkmarx 的供应链攻击中，该安全公司未能彻底驱逐责任方，随后又遭受了两次攻击。首次攻击中使用的 Checkmarx 凭证来自对 Trivy 软件开发者的供应链攻击。从 Trivy 转向 Checkmarx 以及 Checkmarx 未能完全修复初始漏洞，这充分说明了从这类安全漏洞中完全恢复的难度及其带来的风险。 Socket 和 Aikido 均提供了受影响的 Red Hat 软件包列表及其他入侵指标，任何可能受影响的人员或组织应立即加以利用。 *文章已更新，增加了 Red Hat 的评论。*