Red Hat bestätigt Lieferketteneingriff bei npm-Paketen der Cloud-Services
Red Hat hat offiziell bestätigt, dass eine Lieferkette-Kompromittierung mehrere Pakete betrifft, die unter dem npm-Namespace @redhat-cloud-services veröffentlicht wurden, und dies wurde am 1.
Kurzfassung
Warum das wichtig ist
- Red Hat hat offiziell bestätigt, dass eine Lieferkette-Kompromittierung mehrere Pakete betrifft, die unter dem npm-Namespace @redhat-cloud-services veröffentlicht wurden, und dies wurde am 1.
- Ein kompromittiertes GitHub-Konto wurde genutzt, um bösartigen Code in Frontend-Bibliotheken einzuschleusen, die, was erhebliche Besorgnis in Unternehmensumgebungen auslöste, die auf diese Pakete bei der Erstellung dem Sicherheitsbulletin, RHSB-2026-006, wurden unbefugte Commits in Repositories der RedHatInsights-GitHub-Organisation über ein kompromittiertes Entwicklerkonto durchgeführt.
- Die betroffenen Pakete sind Frontend-Bibliotheken, die während des Red-Hat-Produkt-Build-Prozesses kompiliert und in Container-Images gebündelt werden, wodurch der Angriffsvektor aufgrund seiner tiefen Integration in nachgelagerte Build-Pipelines besonders gefährlich ist.
Die Red-Hat-Entwicklungsteams haben schnell reagiert und die kompromittierten Versionen nach der ersten Offenlegung aus npm entfernt. Die Bedrohungsintelligenz, dass das Malware-Tool hinter diesem Supply-Chain-Kompromiss der hochentwickelte Shai-Hulud-Infostealer ist, eine Kampagne, die weit über typisches npm-Malware hinausgeht.
Während konventionelles npm-Malware üblicherweise mit einer bis drei Ausführungsstufen operiert, setzt Shai-Hulud eine sechsstufige Payload-Lieferkette ein, die sich in einem endlosen Ausführungszyklus selbst durchschleift.
Der Angriff beginnt mit einem verschlüsselten index.js-Payload, durchläuft Verschlüsselungs- und Dekodierungsstufen und platziert schließlich 15 unterschiedliche Payloads, darunter Tools zum Speicherauslesen, Token-Monitore, Claude-API-Hooks sowie einen auf GitHub basierenden Payload-Verteiler.
Technischer Hintergrund
GitHub als adaptiver C2-Server Eines der alarmierendsten Merkmale (C2)-Infrastruktur. Anstatt lediglich exfiltrierte Daten zu hosten, speichert der Angreifer bösartigen Code in GitHub-Repositories und nutzt Commits, die mit dem String „firedalazer" markiert sind, als dynamischen Mechanismus zur Payload-Verteilung.
Dies bedeutet, dass selbst nach dem Blockieren eines Kontos ein weiteres nahtlos übernehmen kann, indem es neue Commits pusht, wodurch die Kampagne hochgradig resilient ist.
OX Security hat zudem zwei unterschiedliche Varianten der Malware identifiziert, die sich durch einen subtilen Unterschied auszeichnen: den String „Miasma: The Spreading Blight" (ohne Leerzeichen nach dem Doppelpunkt) in Stage 3 im Gegensatz zu „Miasma: The Spreading Blight" (mit Leerzeichen) in der alternativen Payload 6.
Technik und Auswirkungen
Diese Detailunterschiede können dazu führen, dass Erkennungstools, die auf exakte String-Matching angewiesen sind, Infektionen übersehen. Red Hat Product Security führt derzeit eine Analyse der Build-Systeme und der Abhängigkeitsverfolgung durch, um zu bestätigen, ob in Produkt-Builds die kompromittierten Paketversionen enthalten waren.
Basierend auf den aktuellen Erkenntnissen ist derzeit keine Kundenseite erforderlich, die Untersuchung läuft jedoch weiterhin.
Organisationen werden aufgefordert, nach bekannten Indikatoren für einen Kompromittierung durch Shai-Hulud zu suchen, einschließlich der Commit-String „firedalazer", mit Miasma zusammenhängender Strings sowie der dokumentierten Verschlüsselungsschlüssel und öffentlichen Schlüsselpaare, die öffentlicht wurden.
Quelllink
Originalquelle: Cyber Security News
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
Weltweit erster Ethanol-Motor für Netzstrom geht in Testphase
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Ex-Forza-Horizon-Entwickler Maverick Games präsentieren Clutch: Debüt-Titel mit voller Enthüllung beim dieswöchigen Summer Game Fest.
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- Red Hat Confirms Supply Chain Compromise of @redhat-cloud-services npm Packages
- Canonical
- https://cybersecuritynews.com/red-hat-supply-chain-compromise/
- Quell-URL
- https://cybersecuritynews.com/red-hat-supply-chain-compromise/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Weltweit erster Ethanol-Motor für Netzstrom geht in Testphase
Brasilien hat den据称 weltweit ersten Motor für die großtechnische thermische Stromerzeugung vorgestellt, der fast ausschließlich mit Ethanol betrieben wird.
04.06.2026
Live Redaktion
Ex-Forza-Horizon-Entwickler Maverick Games präsentieren Clutch: Debüt-Titel mit voller Enthüllung beim dieswöchigen Summer Game Fest.
Die ehemaligen Entwickler Games haben endlich das Open-World-Rennspiel enthüllt, an dem sie seit der Gründung des Studios arbeiten und das Jahr 2023 erstmals öffentlich vorgestellt wurde
04.06.2026
Live Redaktion
Cyberkriminelle missbrauchen AWS, Google Cloud, Cloudflare und Microsoft-Dienste zur Verschleierung von Schadverkehr
Cyberkriminelle nutzen vertrauenswürdige Cloud-Infrastrukturen – darunter Amazon Web Services, Google Cloud, Microsoft Azure, Cloudflare und GitHub – zunehmend als Waffe, um bösartigen Datenverkehr zu tarnen, Erkennung
04.06.2026
Live Redaktion
Intel Arc G3-Interview: Senior Product Director spricht über Handheld-Chips, Arrow Lake Refresh und RTX Spark
Verknüpfen Sie den Link
04.06.2026
Live Redaktion