Slow Fog: npm-Paket für Red Hat Cloud-Dienste von aktiven Supply-Chain-Angriffen betroffen; gestohlene Zugangsdaten in über 300 GitHub-Repositories gefunden

SlowMist hat eine Sicherheitswarnung herausgegeben, da ein aktiver npm-Supply-Chain-Angriff auf Pakete im Zusammenhang mit @redhat-cloud-services entdeckt wurde. Derzeit sind über 31 Pakete bestätigt betroffen, die wöchentlich etwa 116.000 Mal heruntergeladen werden; zudem existieren gestohlene Zugangsdaten in mehr als 300 GitHub-Repositories. Diese Angriffsmethode ähnelt stark dem früheren „Shai-Hulud“-npm-Angriff und umfasst den Diebstahl von Zugangsdaten, die Erstellung bösartiger Repositories sowie das automatisierte Durchsickern von Geheimnissen. Es tauchen weiterhin neue verdächtige Repositories auf, was darauf hindeutet, dass der Angriff noch andauert und Entwickler weiterhin kontinuierlich infiziert werden.

Zu den potenziellen Gefahren gehören: Diebstahl von GitHub/npm-Tokens, Abfluss von AWS/GCP/Azure-Cloud-Zugangsdaten, Erfassung von SSH-Schlüsseln und Kubernetes-Secrets, Abfluss lokaler Umgebungs- und Wallet-Daten, Erstellung bösartiger Repositories und Persistenzoperationen sowie potenziell destruktive Aktionen nach dem Widerruf von Tokens. Es wird empfohlen, betroffene @redhat-cloud-services-Paketversionen umgehend zu entfernen oder ein Downgrade durchzuführen, eine umfassende Prüfung der CI/CD-Workflows und Abhängigkeitsinstallationen vorzunehmen, alle GitHub-, npm-, Cloud-Dienst-, SSH- und Wallet-bezogenen Schlüssel zu rotieren, Protokolle aufzubewahren und betroffene Entwicklerrechner oder Runner aus sauberen Images neu aufzusetzen, während gleichzeitig ein hohes Maß an Wachsamkeit gewahrt bleibt.