Die Kompromittierung der Red-Hat-npm-Pakete hat Entwickler einer weiteren großen Supply-Chain-Attacke mit Malware zum Diebstahl von Zugangsdaten ausgesetzt. Sicherheitsforscher entdeckten, dass Angreifer schädliche Versionen von Paketen unter dem vertrauenswürdigen npm-Namespace von Red Hat veröffentlichen konnten, wodurch Entwicklersysteme und Authentifizierungsdaten potenziell gefährdet wurden.
Die Kampagne richtete sich gegen Entwickler und Organisationen, die die betroffenen Pakete in Entwicklungsumgebungen und Cloud-Workflows verwendeten. Forscher warnten davor, dass die schädliche Software versuchte, sensible Zugangsdaten und Authentifizierungstokens von infizierten Systemen zu stehlen.
Der Vorfall zeigt, wie Angreifer zunehmend vertrauenswürdige Software-Ökosysteme ins Visier nehmen, anstatt Unternehmen direkt anzugreifen.
Angreifer veröffentlichten schädliche Pakete über vertrauenswürdige Infrastruktur
Forscher entdeckten, dass mehrere Pakete unter dem npm-Namespace @redhat-cloud-services schädlichen Code enthielten. Da die Pakete scheinbar aus offizieller Red-Hat-Quelle stammten, hatten Entwickler kaum Anlass, während der Installation einen Angriff zu vermuten.
Die kompromittierten Pakete sollen Malware verbreitet haben, die darauf ausgelegt war, Zugangsdaten, Authentifizierungstokens und andere sensible Entwicklerinformationen zu stehlen. Bedrohungsakteure könnten gestohlene Daten nutzen, um Zugriff auf Quellcode-Repositories, Cloudplattformen, CI/CD-Pipelines und weitere Entwicklungsinfrastrukturen zu erhalten.
Supply-Chain-Angriffe gelten als besonders gefährlich, weil vertrauenswürdige Pakete sich schnell in zahlreiche Umgebungen verbreiten. Eine einzige kompromittierte Abhängigkeit kann gleichzeitig Entwickler, interne Systeme und nachgelagerte Anwendungen betreffen.
Die Angreifer nutzten das Vertrauen in offizielle Software-Namespaces, um die Reichweite der Kampagne zu erhöhen.
Forscher verknüpften die Malware mit früheren Angriffen
Sicherheitsforscher brachten die Malware mit Aktivitäten rund um die größere Supply-Chain-Kampagne Shai-Hulud in Verbindung. Die im Red-Hat-Vorfall eingesetzte Variante konzentrierte sich Berichten zufolge auf das Sammeln von Entwickler-Zugangsdaten und die Ausweitung des Zugriffs auf weitere Systeme.
Forscher beobachteten Funktionen, die darauf ausgelegt waren, Authentifizierungsdaten aus Entwicklungsumgebungen und Software-Publishing-Systemen auszulesen. Angreifer richten sich häufig gegen solche Umgebungen, weil Entwicklerkonten gleichzeitig Zugriff auf mehrere verbundene Plattformen bieten können.
Der Vorfall verdeutlicht einen wachsenden Trend, bei dem Cyberkriminelle vertrauenswürdige Software-Ökosysteme kompromittieren, anstatt direkte Angriffe gegen stark geschützte Unternehmensnetzwerke durchzuführen.
Diese Angriffe können weitreichende Sicherheitsprobleme verursachen, da kompromittierte Entwicklerkonten die Verbreitung schädlichen Codes in weitere Projekte und Dienste ermöglichen können.
Kompromittierter Entwicklerzugang spielte zentrale Rolle
Berichten zufolge verschafften sich die Angreifer Zugriff über ein kompromittiertes Konto, das mit der Entwicklungsumgebung von Red Hat verbunden war. Dieser Zugang ermöglichte es ihnen, schädliche Workflows und manipulierte Pakete in vertrauenswürdige Publishing-Systeme einzuschleusen.
Sobald die Angreifer Zugriff auf die Veröffentlichungsinfrastruktur hatten, wirkten die kompromittierten Pakete für npm-Nutzer vollkommen legitim.
Diese Methode wird bei Supply-Chain-Angriffen immer häufiger eingesetzt. Statt direkte Schwachstellen in Software auszunutzen, konzentrieren sich Angreifer auf Entwicklerkonten, Authentifizierungstokens oder automatisierte Publishing-Pipelines.
Sicherheitsforscher warnen davor, dass vertrauenswürdige Entwicklungsinfrastrukturen inzwischen zu den wertvollsten Zielen moderner Cyberkriminalität gehören.
Entwickler sollten Systeme überprüfen und Zugangsdaten austauschen
Organisationen und Entwickler, die betroffene Paketversionen installiert haben, sollten ihre Umgebungen auf mögliche Kompromittierungen untersuchen. Sicherheitsexperten empfehlen, Zugangsdaten zu ändern, Authentifizierungstokens zu widerrufen, CI/CD-Pipelines zu überprüfen und Systeme auf ungewöhnliche Aktivitäten zu überwachen.
Teams sollten außerdem sicherstellen, dass die schädlichen Paketversionen sowohl aus Entwicklungs- als auch Produktionsumgebungen entfernt wurden.
Abhängigkeitsüberwachung und Softwareverifikation bleiben wichtige Schutzmaßnahmen gegen Supply-Chain-Angriffe. Unternehmen sollten Änderungen an Software-Abhängigkeiten sorgfältig verfolgen und unnötige Zugriffsrechte auf Publishing-Infrastrukturen einschränken.
Der Vorfall verdeutlicht außerdem die Bedeutung starker Authentifizierung und eingeschränkter Berechtigungen für Entwicklerkonten.
Fazit
Die Kompromittierung der Red-Hat-npm-Pakete zeigt, wie sich Supply-Chain-Angriffe zu hochwirksamen Bedrohungen für Entwickler und Unternehmen weiterentwickeln. Durch den Missbrauch vertrauenswürdiger Publishing-Infrastruktur verbreiteten Angreifer Malware zum Diebstahl von Zugangsdaten über Pakete, die für Nutzer legitim wirkten.
Die Kampagne verdeutlicht außerdem, wie kompromittierte Entwicklerzugänge weitreichende Risiken innerhalb von Software-Ökosystemen verursachen können. Da Angreifer weiterhin vertrauenswürdige Entwicklungsplattformen ins Visier nehmen, müssen Unternehmen ihre Kontosicherheit stärken, Abhängigkeiten sorgfältig überwachen und Software-Lieferketten als kritische Sicherheitsinfrastruktur behandeln.
0 Kommentare zu „Red-Hat-npm-Pakete wurden zur Verbreitung von Malware zum Diebstahl von Zugangsdaten genutzt“