MalwareCyberkriminalitätSchwachstellen

Massive Supply-Chain-Attacke: 32 Red-Hat-NPM-Pakete mit Credential-Stealer kompromittiert

Von CyberDeutsch Redaktion
Massive Supply-Chain-Attacke: 32 Red-Hat-NPM-Pakete mit Credential-Stealer kompromittiert
Zusammenfassung

Eine massivere Supply-Chain-Attacke hat die Open-Source-Gemeinde erschüttert: Hacker haben 96 bösartige Versionen von 32 Red-Hat-Paketen im NPM-Repository veröffentlicht und damit eine Malware verbreitet, die Anmeldedaten stiehlt. Die betroffenen Pakete sind Teil des Red-Hat-Hybrid-Cloud-Console-JavaScript-Ökosystems und wurden insgesamt etwa 10 Millionen Mal heruntergeladen. Die Angreifer verschafften sich offenbar Zugang zu den NPM-Scope-Anmeldedaten durch einen Übergriff auf die CI/CD-Pipeline und missbrauchten GitHub Actions OIDC-Token. Die Malware, eine Variante des Mini-Shai-Hulud-Wurms, wurde als "Miasma: The Spreading Blight" eingebettet und installiert sich automatisch bei der NPM-Installation. Sie stiehlt GitHub-Secrets, NPM-Token, Cloud-Credentials sowie SSH- und Git-Anmeldedaten. Für deutsche Entwickler und Unternehmen, die diese Red-Hat-Pakete oder deren Abhängigkeiten nutzen, stellt dies ein erhebliches Risiko dar. Besonders betroffen sind IT-Unternehmen, Cloud-Service-Provider und Softwarehersteller, die auf das Red-Hat-Ökosystem vertrauen. Red Hat hat bereinigte Versionen veröffentlicht, aber Nutzer müssen sofort handeln und ihre Zugangsdaten wie API-Keys und Token regenerieren.

Die Attacke offenbart erneut die wachsende Gefahr von Supply-Chain-Kompromittierungen im JavaScript-Ökosystem. Der Malware-Code mit dem Label “Miasma: The Spreading Blight” wurde gezielt entwickelt, um sensible Anmeldeinformationen zu stehlen: GitHub-Actions-Secrets, NPM-Tokens, Cloud-Credentials, Kubernetes- und Vault-Material, SSH-Schlüssel sowie Git-Credentials waren im Visier der Angreifer.

Besonders bemerkenswert ist die Funktionsweise des Wurms. Statt unmittelbar nach der Installation aktiv zu werden, setzt der Malware auf eine subtile Exfiltrationsstrategie: Die gestohlenen Daten werden auf einen attacker-kontrollierten Server übertragen. Als Fallback-Mechanismus nutzt der Wurm GitHub selbst — die erbeuteten Informationen werden in neu erstellte öffentliche Repositories hochgeladen. Dadurch wurde die Entdeckung erschwert und die Verbreitung maximiert.

Laut Ox Security konnten Sicherheitsforscher mindestens 210 Repositories identifizieren, die stolen credentials enthielten. Das deutet darauf hin, dass mindestens genauso viele Entwickler die bösartigen Paketversionen heruntergeladen und installiert haben. Der Malware versuchte zudem, gestohlene GitHub-Tokens zu missbrauchen, um weitere Repositories zu enumerieren und malicious Payloads einzuschleusen.

Es wird vermutet, dass die Hacker-Gruppe TeamPCP hinter der Attacke steckt — eine Gruppe, die bereits mehrfach Open-Source-Ziele ins Visier genommen hat. Im Mai hatte dieselbe Gruppe den Source-Code des Mini-Shai-Hulud-Wurms öffentlich freigegeben und damit eine Art Challenge an andere Cyberkriminelle gestartet, ihn für Supply-Chain-Attacken zu nutzen. Dies zeigt ein neues Eskalationsniveau in der Cyberkriminalität.

Red Hat hat reagiert und saubere Versionen aller 32 betroffenen Pakete veröffentlicht. Die manipulierten Iterationen wurden aus dem NPM-Repository entfernt. Alle Nutzer sollten unverzüglich auf die aktuellen, sauberen Versionen updaten. Entwickler, die die bösartigen Versionen installiert haben, müssen ihre gesamte Build-Umgebung als kompromittiert betrachten und sofort alle Credentials, Tokens und API-Keys rotieren.

Das BSI empfiehlt deutschen Unternehmen, ihre Abhängigkeitsketten zu überprüfen, da die Red-Hat-Pakete weit verbreitet als indirekte Bibliotheken eingebunden sind. Verdächtige ausgehende Netzwerkverbindungen sollten monitort werden.

Ähnliche Artikel