Auf den Punkt: Mindestens 32 Red Hat npm-Pakete wurden mit einem Credential-Stealer infiziert, der zugleich GitHub-Workflows manipulierte, um weitere Packages mit gefälschten SLSA-Attesten zu publizieren und Supply-Chain-Zugriff zu erweitern.</tldr>
</invoke>
Unbekannte Angreifer haben mindestens 32 npm-Pakete aus dem Red Hat Cloud Services-Namespace kompromittiert und mit Malware versehen, die Entwickler-Credentials und Authentifizierungstoken aus lokalen Umgebungen und CI/CD-Systemen exfiltriert.
Sicherheitsforscher von Wiz, OX Security und weiteren Unternehmen dokumentieren eine Supply-Chain-Kampagne, die unter dem Namen Miasma verfolgt wird und als Weiterentwicklung der Malware-Familie Shai-Hulud gilt. Die kompromittierten Pakete wurden von Entwicklern über das Wochenende heruntergeladen und wiesen ein durchschnittliches Volumen von etwa 80.000 Weekly Downloads auf. Laut Wiz-Analyse stammte die verwendete Malware aus der Mini-Shai-Hulud-Familie, die bereits mehrfach in npm-Ökosystem-Angriffen auftauchte und auf TeamPCP zurückgeht.
Die Angreifer integrierten automatisch ausführbare Malware in die Installation dieser Pakete. Das Schadprogramm war darauf ausgerichtet, npm-Authentifizierungstoken, Umgebungsvariablen, Cloud-Credentials und weitere sensitive Informationen zu sammeln. Besonders relevant für CTOs: Die Angreifer modifizierten zudem GitHub Actions-Workflows, um illegitime Package-Veröffentlichungen legitim erscheinen zu lassen. Das System forderte GitHub OpenID Connect (OIDC)-Token an und führte obfuszierten Code aus, der Pakete mit validen SLSA-Provenance-Attestationen publizierte – eine Technik, die bereits in früheren Angriffen gegen TanStack von denselben Akteuren beobachtet wurde.
Das strategische Ziel der Kampagne war nicht nur unmittelbare Credential-Diebstahl, sondern persistente Präsenz und laterale Ausbreitung. Die Malware durchsuchte gezielt nach Publikations-Credentials, um Zugriff auf weitere Developer-Accounts und Repositories zu erlangen. Zum Zeitpunkt der Analyse waren bereits die meisten infizierten Versionen aus dem npm-Repository entfernt worden.
Betroffene Organisationen sollten sofort prüfen, ob die manipulierten Pakete installiert wurden. Wiz empfiehlt: potenziell kompromittierte Secrets rotieren, npm Publishing-Token widerrufen und neu ausstellen, sowie Repository- und Package-Publishing-Aktivitäten überprüfen. Da Red Hat Cloud Services im Enterprise-Umfeld verbreitet vertraut werden, ist eine rasche Audit-Aktivität notwendig, um lateral bewegte Angreifer zu identifizieren.
Quelle: www.csoonline.com · Erschienen 2. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.