Künstliche Intelligenz
Red-Hat-Infostealer kommt auf mehr als 100.000 Downloads
Ende Mai haben Cyberkriminelle in einer Lieferkettenattacke, die mittels eines Mini-Shai-Hulud-Klons erfolgte, bösartige Versionen von npm-Paketen verbreitet. Ziel der Malware, die sich selbst Miasma nennt, waren die Managed Cloud Services von Red Hat. Mittlerweile sind keine bösartigen Paketversionen mehr im Umlauf. Sicherheitsexperten raten dennoch dazu, die Credentials zu rotieren.
Weiterlesen nach der Anzeige
Miasma ist eine Variante des Shai-Hulud-Wurms. Sie brachte den Sicherheitsforschern von Socket zufolge 96 bösartige Versionen von 32 npm-Paketen in Umlauf, die sich dem Namespace @redhat-cloud-services zuordnen lassen. Insgesamt gab es drei Angriffswellen, die sich jeweils auf kompromittierte Konten von Projekt-Maintainern zurückführen lassen.
Laut Red Hat wurden alle drei Wellen mittlerweile gestoppt. Dabei betonte der Anbieter, dass die betroffenen Pakete ausschließlich für die interne Entwicklung bestimmt gewesen seien. Ein Einfluss auf Kundenumgebungen oder Produktivsysteme sei bislang nicht festgestellt worden.
Betroffene Pakete sind unter anderem @redhat-cloud-services/vulnerabilities-client, @redhat-cloud-services/tsc-transform-imports, @redhat-cloud-services/topological-inventory-client, @redhat-cloud-services/sources-client und @redhat-cloud-services/rule-components. OX Security hat nachgezählt, dass sie zusammen wöchentlich auf mehr als 100.000 Downloads kommen.
Autogramm in der README.md
Miasma folgt dem klassischen Mini-Shai-Hulud-Schema: Die Malware nutzt gestohlene Credentials, um manipulierte npm-Pakete in der CI/CD-Lieferkette zu platzieren. Die saugen dann eine Vielzahl sensibler Informationen ab, darunter Zugangsdaten zu Amazon Web Services (AWS) sowie SSH-Schlüssel, Crypto-Wallets, npm- und GitHub-Tokens. Die gestohlenen Daten landen verschlüsselt in einem neuen GitHub-Repository, das die Malware anlegt. Von Miasma kompromittierte GitHub-Konten lassen sich an der Textzeile „Miasma : The Spreading Blight“ in der README.md erkennen.
Der Cyberangriff von Miasma folgt dem Infektionsschema anderer Lieferkettenattacken, die unter der Eigenbezeichnung Mini Shai-Hulud laufen und es seit Ende April unter anderem auf npm-Pakete von SAP und TanStack abgesehen haben. Und er könnte mit der Cybergang TeamPCP in Verbindung stehen, die Mitte Mai den Quellcode des npm-Wurms Shai-Hulud auf GitHub veröffentlichte und parallel dazu zu einem Wettbewerb um den größten Supply-Chain-Angriff aufrief. Kurz danach erschienen die ersten Klone, von denen einer kürzlich AntV ins Visier nahm.
Weiterlesen nach der Anzeige
(mro)