SlowMist a émis une alerte de sécurité concernant une attaque active sur la chaîne d'approvisionnement npm ciblant des paquets logiciels liés à @redhat-cloud-services. Selon ChainCatcher, plus de 31 paquets ont été touchés, avec un volume de téléchargement hebdomadaire d'environ 116 000. Plus de 300 dépôts GitHub ont été découverts avec des identifiants volés. L'attaque ressemble à la précédente attaque npm 'Shai-Hulud', impliquant le vol d'identifiants, la création de dépôts malveillants et des fuites automatiques de secrets. De nouveaux dépôts suspects continuent d'émerger, indiquant que l'attaque est en cours et que les développeurs continuent d'être infectés.

Les risques potentiels incluent le vol de tokens GitHub/npm, l'exposition des identifiants de cloud AWS/GCP/Azure, la collecte de clés SSH et de secrets Kubernetes, la fuite de données locales et de portefeuilles, la création de dépôts malveillants et des opérations persistantes. Même après la révocation des tokens, des actions destructrices peuvent se produire. Il est conseillé de retirer ou de rétrograder immédiatement les versions affectées des packages @redhat-cloud-services, d'auditer minutieusement les flux de CI/CD et les installations de dépendances, de faire tourner toutes les clés liées à GitHub, npm, aux services cloud, SSH et portefeuilles, de conserver les logs, et de reconstruire les machines ou runners de développeurs exposés à partir d'images propres tout en maintenant une vigilance élevée.