【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证

文｜腾讯洋葱反入侵系统

七夜、xnianq、柯南

12月23号 03:32 攻击者在NPM官方仓库上传了radar-cms 恶意包(https://www.npmjs.com/package/radar-cms)，包代码和主页完全复制TypeChain 正常包，有可能是为了绕过信誉检查，目前已下载40余次。

radar-cms包 恶意功能触发方式相对常见，在package.json 中的postinstall字段添加了一段恶意命令，功能是在安装radar-cms包时，窃取 kubeconfig文件、kerberos凭据、/etc/passwd、/etc/hosts等敏感文件。

其中 kubeconfig 文件 是用于配置k8s集群访问信息的文件。在开启了 TLS 的集群中，每次与集群交互时都需要身份认证，生产环境一般使用证书进行认证，其认证所需要的信息会放在 kubeconfig 文件中。此外，k8s 的组件都可以使用 kubeconfig 连接 apiserver，client-go 、operator、helm 等其他组件也使用 kubeconfig 访问 apiserver。

相比于之前发现的多起NPM投毒案例，此次投毒的目的有些许变化，此前投毒以控制主机为主要目的，而此次更加倾向于攻击云原生基础设施，窃取关键配置文件，这可能与云原生的火热发展有关。

域名：

entfet95itcxpuu.m.pipedream.net

近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区，到目前为止，腾讯洋葱反入侵系统已经发现多起严重的软件源投毒事件，并向业界提前发出通知。

【安全通知】PyPI 官方仓库遭遇covd恶意包投毒

【安全通知】PyPI 官方仓库遭遇request恶意包投毒

【安全通知】腾讯洋葱反入侵系统检测到多例恶意Python库供应链投毒

【安全通知】知名端口转发工具rinetd遭高仿投毒

同时，我们秉承共建安全生态的原则，主动向外界分享了洋葱反入侵系统针对软件源投毒场景的检测方案。

源头之战，不断升级的攻防对抗技术——软件供应链攻击防御探索

兵无常势，水无常形，黑客投毒的手法越来越隐蔽，攻防对抗的难度也随之不断升级，唯有一直紧跟技术发展趋势，持续不断进阶，才能在安全攻防对抗中取得先机。