Red Hat удалила заражённые пакеты после компрометации программного конвейера

Red Hat в понедельник удалила десятки пакетов из своего дистрибутива после того, как злоумышленники использовали скомпрометированный аккаунт GitHub для распространения вредоносного ПО, похищающего учётные данные разработчиков.

Что произошло?

По данным предварительного анализа компании, через скомпрометированный GitHub-аккаунт вредоносный код был доставлен клиентам в составе 32 пакетов, суммарно загружаемых около 117 000 раз в неделю. Red Hat удалила затронутые пакеты и сообщила, что от пользователей никаких дополнительных действий не требуется.

Какое вредоносное ПО использовалось?

В атаке применялся вариант самораспространяющегося червя Mini Shai-Hulud, полный исходный код которого был опубликован 12 мая киберпреступной группировкой TeamPCP. Одновременно с публикацией группировка объявила на BreachForums конкурс с призом $1 000 за наиболее масштабную атаку на цепочку поставок с использованием этого кода.

Вредонос в данной атаке получил название Miasma и отличался от оригинала TeamPCP лишь косметически: отсылки к вселенной «Дюны» были заменены образами греческой мифологии, тогда как функциональность кражи учётных данных осталась неизменной.

По данным Unit 42 компании Palo Alto Networks, публикация исходного кода червя уже породила волну подражательских атак, что существенно затрудняет установление ответственности. Исследователи подчёркивают, что Mini Shai-Hulud вышел за рамки TeamPCP.

Часть масштабной волны атак

Атака на Red Hat — лишь одно из звеньев цепочки компрометаций цепочки поставок, берущей начало в сентябре 2025 года, когда оригинальный червь Shai-Hulud вызвал экстренное предупреждение CISA. Среди последних инцидентов:

• Март 2026 — атака на LiteLLM, в результате которой были скомпрометированы несколько организаций, в том числе ИИ-компания Mercor
• Отдельная волна компрометаций, приписанных северокорейским хакерам, нацеленных на JavaScript-библиотеку axios
• GitHub подтвердил взлом со стороны TeamPCP через вредоносное расширение Visual Studio Code — группировка потребовала $50 000 за похищенный исходный код
• OpenAI сообщила о компрометации устройств двух сотрудников в результате атаки на библиотеку TanStack

«Поскольку вредонос нацелен на широкий спектр учётных данных, это создаёт потенциал для эффектов второго и третьего порядка, которые могут распространяться со временем — приводя к дальнейшим взломам, сбоям в работе сервисов или неправомерному использованию конфиденциальных данных далеко за пределами первоначальной точки компрометации.»

— Адам Рейнольдс, старший исследователь безопасности Sonatype

«Секреты, похищенные за последние две недели, обеспечат новые атаки на цепочки поставок, компрометации SaaS-сред, инциденты с вымогателями и кражи криптовалюты на протяжении следующих дней, недель и месяцев.»

— Чарльз Кармакал, технический директор Mandiant