Red Hat betroffen: Wurm kapert NPM-Pakete und sammelt Zugangsdaten

Die Mini-Shai-Hulud-Angriffe gehen weiter. Dieses Mal hat es NPM-Pakete des für die Entwicklung der Linux-Distribution RHEL (Red Hat Enterprise Linux) bekannten Softwareherstellers Red Hat erwischt. Wie Sicherheitsforscher von Aikido in einem Blogbeitrag(öffnet im neuen Fenster) schildern, schleusten die Angreifer erfolgreich datensammelnde Malware in 32 von Red Hat entwickelte Softwarepakete.

Zusammen erreichen die betroffenen Pakete den Angaben zufolge etwa 117.000 Downloads pro Woche. Der Schadcode soll in 96 verschiedene Paketversionen eingebaut worden sein. Es handelt sich nach Angaben der Forscher um eine neue Variante der Mini-Shai-Hulud-Malware, die auch Miasma genannt wird.

Ausgeführt wird die Malware durch ein Preinstall-Skript, also bei jeder Installation der betroffenen Pakete. Der Schadcode befindet sich in einer stark verschleierten und 4,2 MByte großen index.js-Datei. Wie schon bei früheren Shai-Hulud-Angriffen zielt die Malware darauf ab, unter anderem Tokens, Schlüssel und andere Anmeldedaten für Dienste wie Github, NPM, PyPI, Kubernetes, Docker, SSH, AWS, Azure und die Google Cloud auszuleiten.

Die aus CI/CD-Pipelines und von Entwicklersystemen erbeuteten Zugangsdaten werden anschließend genutzt, um weitere Projekte zu kompromittieren. In einem Bericht von Stepsecurity(öffnet im neuen Fenster) wird Miasma auch als ein "sich selbst verbreitender Wurm" beschrieben, der erbeutete NPM-Tokens automatisch einsetzt, um manipulierte Versionen weiterer Pakete zu publizieren. Auch aktive Zwei-Faktor-Authentifizierungen der NPM-Accounts werden dabei wohl umgangen.

Wer genau hinter dem jüngsten Angriff steckt, ist unklar. Frühere Mini-Shai-Hulud-Attacken wurden auf den berüchtigten Cyberakteur TeamPCP zurückgeführt. Doch dieser hat wohl Mitte Mai den Quellcode seiner Malware veröffentlicht, so dass auch andere Akteure entsprechende Angriffskampagnen ausführen können.

Im Falle von Red Hat wurde offenbar ein kompromittierter Github-Zugang eines Mitarbeiters genutzt, um den Schadcode in die NPM-Pakete einzuschleusen. Wer eines der betroffenen Pakete im Einsatz hat, sollte seine Systeme dringend auf eine mögliche Kompromittierung untersuchen und gegebenenfalls zeitnah alle darauf hinterlegten Anmeldedaten rotieren.

Weitere Details zu der jüngsten Angriffswelle sowie empfohlene Schutzmaßnahmen sind neben jenen von Aikido und Stepsecurity auch in Berichten der Sicherheitsforscher von Socket(öffnet im neuen Fenster), JFrog(öffnet im neuen Fenster), Microsoft(öffnet im neuen Fenster) und Safedep(öffnet im neuen Fenster) zu finden. In diesen Berichten