Turvauurijad avastasid esmaspäeval kümneid Red Hati npm-pakette, mis olid nakatatud ussi “Mini Shai-Hulud” variandiga — pahavaratööriistaga, mille küberkurjategijate rühmitus TeamPCP hiljuti avalikuks tegi. Tarneahela rünnak tabas vähemalt 32 npm-paketi versiooni Red Hat Cloud Servicesi nimeruumist, mida laaditi alla ligikaudu 80 000 korda nädalas. Google’i tütarfirma Wiz tuvastas, et rünnak sai alguse ühe Red Hati töötaja kompromiteeritud GitHubi kontolt, mille kaudu lisati kahe RedHatInsightsi repositooriumi pahatahtlikud koodimuudatused, möödudes koodiülevaatusest. Pahavara käivitub automaatselt npm-paketi paigaldamise ajal eelpaigaldusskripti kaudu ning on suunatud GitHubi tegevuste saladuste, npm-tokenite, pilveseadistuste, Kubernetese ja Vault’i andmete, SSH-võtmete ning muude tundlike failide varastamisele. Red Hat kinnitas, et käivitas kohe uurimise ja eemaldas paketid npm-registrist, rõhutades, et paketid olid mõeldud ainult sisearenduseks ega jõudnud klientide keskkondadesse. Turvauurijad märgivad, et uus variant asendas “Dunei” universumi viited Kreeka mütoloogiaga ning lisas andmekogujad Google Cloud Platformi ja Microsoft Azure’i identiteetidele.