Red Hat npm Supply Chain Attack: 'Miasma'-Wurm kompromittiert Entwickler-Pakete
security github supply-chain-attack npm red-hat cloud-security devsecops
trending_up Trend: security

Red Hat npm Supply Chain Attack: 'Miasma'-Wurm kompromittiert Entwickler-Pakete

calendar_month 4. Juni 2026

Zusammenfassung

Mehrere npm-Pakete der Organisation @redhat-cloud-services wurden Ziel eines schwerwiegenden Supply-Chain-Angriffs. Angreifer schleusten den Wurm “Miasma” ein – eine Variante der berüchtigten Shai-Hulud-Malware –, der darauf spezialisiert ist, Cloud-Zugangsdaten und Umgebungsvariablen von Entwickler-Workstations und CI/CD-Pipelines zu stehlen. Dieser Vorfall unterstreicht die wachsende Gefahr durch kompromittierte Abhängigkeiten in etablierten Cloud-Ökosystemen.

Was ist passiert?

  • Paket-Kompromittierung: Unbekannte Akteure erlangten Zugriff auf die Veröffentlichungsprozesse von Red Hat und fügten bösartigen Code in mehrere Pakete unter @redhat-cloud-services ein.
  • Wurm-Verhalten: Die “Miasma”-Malware agiert als Wurm, der sich nach der Installation in lokalen Umgebungen ausbreitet und aktiv nach .env-Dateien, AWS-Credentials und Kubernetes-Konfigurationen sucht.
  • Variant von Shai-Hulud: Sicherheitsforscher von Orca Security identifizierten Miasma als technisch fortgeschrittene Weiterentwicklung von Shai-Hulud, mit verbesserten Exfiltrations-Methoden.
  • Betroffene Plattformen: Die Angriffe wurden unabhängig voneinander von Orca Security, Aikido, StepSecurity und CyberPress bestätigt.

Warum es wichtig ist

Red Hat ist ein Eckpfeiler der Enterprise-IT. Wenn Pakete unter einer vertrauenswürdigen Organisation wie @redhat-cloud-services kompromittiert werden, untergräbt dies das grundlegende Vertrauen in das npm-Ökosystem. Entwickler verlassen sich oft blind auf Pakete großer Cloud-Anbieter, was diese zu idealen Zielen für Supply-Chain-Angriffe macht. Der Diebstahl von Cloud-Credentials kann zu massiven Datenabflüssen und Infrastruktur-Übernahmen führen.

Beweise

Sicherheitsfirmen haben detaillierte Analysen der bösartigen Paketversionen veröffentlicht:

  1. Orca Security: Dokumentierte die initiale Entdeckung und den technischen Ablauf der Infektion.
  2. Aikido & StepSecurity: Bestätigten die Kompromittierung spezifischer Paketnamen und lieferten Indikatoren für eine Kompromittierung (IOCs).
  3. CyberPress: Analysierte die Auswirkungen auf Cloud-native Umgebungen.

Analyse

Der Einsatz einer Shai-Hulud-Variante deutet auf professionelle Akteure hin. Im Gegensatz zu einfachen “Typosquatting”-Angriffen handelt es sich hier um einen direkten Kompromiss der Supply Chain (Account Takeover oder CI/CD-Bypass). Die Fokussierung auf Umgebungsvariablen zeigt, dass Angreifer zunehmend verstehen, dass die “Kronjuwelen” moderner Infrastruktur in flüchtigen Konfigurationen und Secrets-Stores liegen.

Praktische Erkenntnisse

  • Sofortiger Audit: Überprüefen Sie alle Projekte auf die Verwendung von @redhat-cloud-services Paketen.
  • Versionen einfrieren: Nutzen Sie npm shrinkwrap oder package-lock.json, um bekannte gute Versionen festzuschreiben.
  • Secrets-Hygiene: Verwenden Sie IAM-Rollen statt statischer Keys und speichern Sie Secrets niemals in Klartext-.env-Dateien.
  • Pipeline-Scanning: Implementieren Sie Tools zur Erkennung von bösartigem Code in Abhängigkeiten in Ihrer CI/CD-Strecke.

Offene Fragen

  • Wie genau konnten die Angreifer die Red Hat-Infrastruktur infiltrieren?
  • Gibt es weitere, noch unentdeckte Pakete, die ähnlichen Code enthalten?
  • Wurden bereits gestohlene Zugangsdaten aktiv für Folgeangriffe genutzt?

Quellen

  1. Orca Security: Red Hat npm Supply Chain Attack
  2. StepSecurity: Multiple redhat-cloud-services npm Packages compromised
  3. Aikido: Red Hat npm Packages compromised - Credential Stealing Worm
  4. CyberPress: Red Hat Cloud npm Packages Compromised
  5. Phoenix Security: Miasma Red Hat Cloud Services npm Supply Chain Attack