关键词

核心开发库泄露

事件概要

  • 时间线

    • 2025.10.6

      ShinyHunters公开勒索声明,要求红帽10.10前支付赎金

    • 泄露数据

      570GB压缩文件 / 28,000个内部开发库 / 800份客户机密报告(CER)

  • 关键影响方
    包括 Walmart、HSBC、加拿大央行、Atos 集团、美国运通、防务部和法国 SFR 公司等

⚠️ 攻击链路拆解阶段操作主体攻击细节初始入侵

Crimson Collective

利用GitLab漏洞攻破咨询项目实例

数据窃取

Crimson Collective

窃取28k开发库(含Ansible/OpenShift代码)

勒索升级

ShinyHunters EaaS平台

搭建专属泄露平台,威胁全网公开数据

黑产协作

Scattered Lapsus$ Hunters

提供谈判渠道和暗网流量支持

泄露数据类型与风险

客户参与报告(CER):

- 客户网络拓扑图(含内网IP段、物理设备布局)

- 企业级基础设施部署文档(K8s集群配置/SDN架构)

开发库核心资产:

- Ansible Playbook历史版本(含硬编码凭证)

- Openshift测试环境密钥(关联红帽云原生服务)

- 内核开发团队内部讨论记录(潜在0day漏洞线索)

️ 攻击入口点剖析:GitLab实例

  • 红帽官方声明

    ▶ 涉事实例仅用于"短期咨询项目"
    ▶ 未回应是否存留客户生产环境数据

  • 黑客披露证据

    ▶ 样本含多份沃尔玛私有化部署方案(签署日期2024Q3)
    ▶ GitHub关联仓库检测到相同CER片段(已触发DMCA删除)

黑产商业模式:EaaS(勒索即服务)模块运作规则资金流向攻击实施方

提供初始入侵能力(如GitLab漏洞利用)

获得赎金的70%

平台运营方

ShinyHunters提供勒索谈判、数据托管服务

抽成30%(含Tor服务器成本)

渠道合作方

暗网论坛推广/洗钱通道搭建

按交易额收取5%-10%佣金

⏳ 当前进展与应对

  • 威胁倒计时

    10月10日前未支付赎金将全网公开数据

  • 企业自查建议

    ▶ 核查是否使用红帽咨询项目交付件(2023-2025年度)
    ▶ 优先重置Ansible Tower服务账号密码
    ▶ 监控GitHub/GitLab是否存在敏感代码片段泄露

关联情报

  • IOC

    ShinyHunters泄露平台域名(需Tor访问)已进入VirusTotal恶意库

  • 防御参考

    红帽KB-001《遭遇未授权访问后的密钥轮换指南》

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!