Dutzende Red Hat Pakete über offiziellen NPM-Kanal hinterrücks mit Backdoor versehen

Offizielle Red Hat NPM-Konten wurden kompromittiert und zur Verbreitung eines bösartigen Wurms genutzt, der sich von Maschine zu Maschine ausbreitet und sensible Credentials stiehlt. Die Supply-Chain-Attacke begann am Montag und war zum Zeitpunkt der Veröffentlichung noch aktiv.

mehr als 30 Pakete des @redhat-cloud-services-Namespace betroffen. Dieser offizielle Kanal wird von Entwicklern, die auf Red Hat Cloud Services setzen, weithin als vertrauenswürdig angesehen. Wie genau der Angreifer die Kontrolle über den Namespace erlangte, ist unklar, aber es handelte sich höchstwahrscheinlich um kompromittierte Zugangsdaten – möglicherweise aus einem vorherigen Supply-Chain-Angriff.

Die betroffenen Pakete führen während des npm-install-Prozesses eine obfuskierte Payload aus – also bevor ein Entwickler das Paket importiert oder nutzt. Die Malware sammelt GitHub-Action-Secrets, npm-Token, Kubernetes/Vault-Material und Credentials für andere Cloud-Dienste. Anschließend verbreitet sie sich, indem sie Backdoor-Pakete auf Drittanbieterkonten veröffentlicht, auf die das infizierte Gerät Zugriff hat. Organizations sollten jedes System, das eine betroffene Paketversion installiert hat, als potenziell kompromittiert behandeln.