Microsoft melaporkan adanya pelanggaran rantai pasokan npm skala besar yang memengaruhi 32 paket dan lebih dari 90 versi berbahaya yang diterbitkan di bawah namespace @redhat-cloud-services. Kampanye tersebut dilaporkan memanfaatkan alur kerja CI/CD yang telah disusupi untuk mendistribusikan paket yang membawa tanda tangan asal usul yang sah.

Menurut perusahaan tersebut, paket berbahaya tersebut menjalankan penginstal yang disamarkan selama instalasi npm. Muatan berbahaya tersebut mengunduh komponen tambahan dan menyebarkan malware yang mampu menargetkan workstation pengembang serta lingkungan Linux, macOS, dan Windows.

Investigasi menemukan kemampuan pencurian kredensial yang ditujukan pada GitHub, npm, AWS, Azure, Google Cloud, Kubernetes, dan platform lainnya. Malware tersebut juga dikatakan dapat mengambil data rahasia dari memori CI runner, meningkatkan hak akses, dan mengumpulkan data sensitif pengembang dari sistem lokal.

Microsoft mengindikasikan bahwa ancaman tersebut mencakup fitur penyebaran mandiri yang memungkinkan akun pengelola yang disusupi untuk menerbitkan ulang paket yang telah disusupi dengan catatan asal usul palsu. Temuan tersebut dibagikan kepada npm, yang mengakibatkan penghapusan paket dan perlindungan tambahan untuk namespace yang terpengaruh.