被称为 Shai-Hulud 的蠕虫具有上个月发布的恶意软件的所有特征，该恶意软件作为开源软件自由获取。TeamPCP 是第一个使用 Shai-Hulud 的团队，并且它推广了一项比赛，承诺对实施最大供应链攻击的黑客支付 1000 美元的奖励。TeamPCP 还曾策划过一系列之前的供应链攻击。现在，蠕虫已经落入许多其他威胁组织的手中，供应链攻击可能会进一步升级。该恶意软件高度关注 CI/CD（持续集成/持续交付）系统，这些系统通过自动化构建、测试和部署代码更改，加快和提高软件发布的可靠性。周一攻击中传播的恶意软件是通过 GitHub Actions OIDC（OpenID Connect）发布的，这表明红帽的 CI/CD 管道已遭到破坏。OIDC 是一种安全措施，旨在通过使用临时凭证与云服务进行交互。一旦安装，该恶意软件就会瞄准其他组织的 CI/CD 凭证。红帽的 GitHub Actions OIDC 的遭到妥协，很可能是因为之前的供应链攻击感染了员工的机器。在本文发布后发送的一封电子邮件中，红帽表示已删除恶意软件包。邮件中表示：“这些软件包严格限于内部开发，恶意代码从未通过 console.redhat.com 系统发布给客户使用。” “虽然我们的调查仍在进行中，但我们尚未发现对客户或合作伙伴环境或红帽生产系统的影响。”考虑到其他最近供应链攻击的成功，任何在过去 36 小时内接触过受影响软件包的人都应假设其工作站、CI/CD 管道以及所有云服务和代码库的凭证受到妥协。这意味着员工此时应该停止手头的工作，进行彻底调查。在最近针对 Checkmarx 的供应链攻击中，该安全公司未能完全清除负责的团体。Checkmarx 随后又遭受了两次攻击。第一次攻击中使用的 Checkmarx 凭证来自对 Trivy 软件开发者的供应链攻击。转向 Checkmarx 及其未能完全修复首次违规的反应，显示出完全恢复此类安全漏洞的困难及其带来的风险。Socket 和 Aikido 拥有受影响的红帽软件包以及其他妥协迹象的列表，任何可能受影响的个人或组织应立即加以利用。故事更新以增加红帽评论。