Ende Mai haben Cyberkriminelle in einer Lieferkettenattacke, die mittels eines Mini-Shai-Hulud-Klons erfolgte, bösartige Versionen von npm-Paketen verbreitet. Ziel der Malware, die sich selbst Miasma nennt, waren die Managed Cloud Services von Red Hat. Mittlerweile sind keine bösartigen Paketversionen mehr im Umlauf. Sicherheitsexperten raten dennoch dazu, die Credentials zu rotieren.
Miasma ist eine Variante des Shai-Hulud-Wurms. Sie brachte den Sicherheitsforschern von Socket zufolge 96 bösartige Versionen von 32 npm-Paketen in Umlauf, die sich dem Namespace @redhat-cloud-services zuordnen lassen. Insgesamt gab es drei Angriffswellen, die sich jeweils auf kompromittierte Konten von Projekt-Maintainern zurückführen lassen.
Laut Red Hat wurden alle drei Wellen mittlerweile gestoppt. Dabei betonte der Anbieter, dass die betroffenen Pakete ausschließlich für die interne Entwicklung bestimmt gewesen seien. Ein Einfluss auf Kundenumgebungen oder Produktivsysteme sei bislang nicht festgestellt worden.
Betroffene Pakete sind unter anderem @redhat-cloud-services/vulnerabilities-client, @redhat-cloud-services/tsc-transform-imports, @redhat-cloud-services/topological-inventory-client, @redhat-cloud-services/sources-client und @redhat-cloud-services/rule-components. OX Security hat nachgezählt, dass sie zusammen wöchentlich auf mehr als 100.000 Downloads kommen.
