Miasma-Lieferkettenangriff
Eine neu entdeckte Angriffskampagne auf die Software-Lieferkette mit dem Namen „Miasma“ hat mehrere npm-Pakete von @redhat-cloud-services kompromittiert. Ziel der Operation ist es, Zugangsdaten und sensible Informationen aus Entwicklerumgebungen zu stehlen und gleichzeitig einen sich selbst verbreitenden Wurm einzusetzen, der sich in Softwareentwicklungs-Ökosystemen weiter ausbreiten kann.
Die Kampagne ähnelt stark den Taktiken, die zuvor mit Mini Shai-Hulud in Verbindung gebracht wurden, und nutzt die Ausführung während der Installation, den Diebstahl von Anmeldeinformationen, die Kompromittierung von CI/CD-Systemen, die Exfiltration verschlüsselter Daten sowie Mechanismen, die eine Weiterverbreitung nachgelagerter Systeme ermöglichen.
Inhaltsverzeichnis
Die Zuordnung bleibt ungewiss
Der für Miasma verantwortliche Akteur konnte noch nicht eindeutig identifiziert werden. Die Zuordnung wird dadurch erschwert, dass TeamPCP (auch bekannt als Replicating Marauder, TGR-CRI-1135 und UNC6780) die mit dem Shai-Hulud-Wurm verbundenen Angriffswerkzeuge zuvor als Open-Source-Projekte veröffentlicht hat. Dadurch konnten andere Cyberkriminelle ähnliche Techniken nachahmen, was eine eindeutige Zuordnung erheblich erschwert.
Kompromittierte npm-Pakete
Folgende npm-Pakete wurden als betroffen identifiziert:
@redhat-cloud-services/vulnerabilities-client
@redhat-cloud-services/tsc-transform-imports
@redhat-cloud-services/topological-inventory-client
@redhat-cloud-services/sources-client
@redhat-cloud-services/rule-components
@redhat-cloud-services/remediations-client
@redhat-cloud-services/rbac-client
Abgreifen von Zugangsdaten durch verschleierte Installationslogik
Sicherheitsforscher entdeckten, dass die Schadsoftwarepakete einen verschleierten Preinstall-Hook enthalten, der während der Paketinstallation automatisch ausgeführt wird. Die Malware zielt auf eine Vielzahl sensibler Daten ab, darunter GitHub Actions-Geheimnisse, npm-Authentifizierungstoken, Cloud-Zugangsdaten, Kubernetes- und HashiCorp-Vault-Geheimnisse, SSH-Schlüssel, Git-Zugangsdaten und andere vertrauliche Dateien, die auf kompromittierten Systemen gespeichert sind.
Wie bereits bei früheren Mini-Shai-Hulud-Kampagnen beobachtet, verwendet die Malware verschlüsselte Exfiltrationsroutinen. Gestohlene Informationen werden an api.anthropic.com:443/v1/api übertragen, während GitHub als alternativer Exfiltrationskanal dient. Diese Strategie mit doppeltem Zweck verdeutlicht den Versuch, nicht nur Zugangsdaten zu stehlen, sondern diese auch für weitere Angriffe auf die Software-Lieferkette zu missbrauchen.
Verschlüsselte Datenpakete werden über die GitHub-API übertragen, und die Commit-Nachrichten können die folgende Zeichenkette enthalten:
'Wenn Sie dieses Token ungültig machen, wird der Computer des Besitzers zerstört:'
Tarntechniken und Ausbreitungsmechanismen
Die Schadsoftware umfasst mehrere Maßnahmen, die darauf abzielen, ihre Persistenz zu maximieren, einer Erkennung zu entgehen und den Zugriff zu erweitern. Ein auffälliges Merkmal ist die bewusste Vermeidung der Ausführung auf russischsprachigen Systemen – ein Verhalten, das bereits bei den Lieferkettenkampagnen von GlassWorm beobachtet wurde.
In npm-Umgebungen interagiert der Schadcode mit dem OIDC-Token-Austausch und den whoami-Endpunkten, verpackt Softwarearchive in aktualisierte Tarballs neu und signiert modifizierte Artefakte mit Sigstore. Die gestohlenen Zugangsdaten werden dann in vom Angreifer kontrollierte öffentliche GitHub-Repositories mit der Beschreibung „Miasma: Die sich ausbreitende Plage“ exfiltriert.
Die Ermittler identifizierten den frühesten bekannten Commit mit dieser Beschreibung am 29. Mai 2026, was darauf hindeutet, dass um diesen Zeitpunkt entweder der Beginn des aktiven Betriebs oder eine erste Testphase stattfand.
In GitHub-Umgebungen listet die Malware die für kompromittierte Token zugänglichen Repositories auf, analysiert Workflow-Definitionen mittels GraphQL-Abfragen und schleust schädliche Workflows über die Mutation `createCommitOnBranch` ein. Dadurch können bösartige Änderungen als verifizierte und kryptografisch signierte Commits erscheinen.
Erweiterte Persistenz- und Privilegienausweitungsfunktionen
Die Analyse ergab mehrere zusätzliche Funktionen, die in der Schadsoftware enthalten sind:
Versuche, die Berechtigungen zu erweitern, indem Container gestartet werden, die das Verzeichnis /etc/sudoers.d des Hosts einbinden und CI-Runnern passwortlosen sudo-Zugriff gewähren.
Erkennung von Endpoint-Sicherheitslösungen wie CrowdStrike, SentinelOne, Carbon Black und StepSecurity Harden-Runner vor dem Beginn schädlicher Aktivitäten.
Persistenzmechanismen, die einen SessionStart-Hook in Anthropic Claude Code einfügen und bösartige tasks.json-Dateien erstellen, die mit 'runOn': 'folderOpen' für Microsoft Visual Studio Code-Projekte konfiguriert sind, um die Ausführung während zukünftiger Entwicklungssitzungen sicherzustellen.
Verstärkter Fokus auf Identitätskompromittierung in der Cloud
Eine wesentliche Weiterentwicklung der Miasma-Variante ist ihr erweiterter Fokus auf die Erfassung von Cloud-Identitäten. Neue Module, die auf Google Cloud Platform (GCP)- und Microsoft Azure-Umgebungen abzielen, sammeln Informationen über alle Cloud-Identitäten, die von einem infizierten Rechner aus zugänglich sind.
Bisherige Varianten konzentrierten sich primär auf das Extrahieren von Geheimnissen aus Cloud-Umgebungen. Die Hinzunahme von identitätsorientierten Sammlern deutet auf eine strategische Verlagerung hin zum direkten Cloud-Zugriff und zur Ausnutzung privilegierter Identitäten innerhalb von Cloud-Infrastrukturen.
Die Erkennung wird zusätzlich dadurch erschwert, dass jede Infektion eine individuell verschlüsselte Nutzlast erzeugt. Diese Anpassung behindert die signaturbasierte Erkennung, die Malware-Verfolgung und die Versionskorrelation zwischen verschiedenen Vorfällen erheblich.
Erster Kompromiss und Infiltration der Lieferkette
Die vorliegenden Beweise deuten darauf hin, dass die Kampagne durch die Kompromittierung des GitHub-Kontos eines Red-Hat-Mitarbeiters ihren Ursprung hatte. Die Ermittler gehen davon aus, dass dieses Konto als Ausgangspunkt für die Infektion diente und es Angreifern ermöglichte, Schadcode in betroffene Pakete einzuschleusen.
Das kompromittierte Konto soll bösartige verwaiste Commits in zwei Red Hat Insights-Repositories eingespielt und dabei etablierte Code-Review-Verfahren umgangen sowie die bösartige Nutzlast in die Software-Lieferkette eingeschleust haben.
Leitfaden für die Reaktion auf und die Behebung von Vorfällen
Organisationen, die betroffene Paketversionen installiert haben, sollten betroffene Systeme umgehend isolieren, schädliche Pakete entfernen, alle potenziell gefährdeten Zugangsdaten regelmäßig aktualisieren, GitHub- und npm-Aktivitäten auf Anzeichen unberechtigten Zugriffs untersuchen und die Umgebungen auf Persistenzmechanismen überprüfen. Besonderes Augenmerk sollte auf unberechtigte Änderungen im Zusammenhang mit Folgendem gelegt werden:
~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml und .github/setup.js.
Strenge Zugriffskontrollen sollten auch in Entwicklungs- und Cloud-Umgebungen durchgesetzt werden.
Da die Malware Hintergrundausführungsfunktionen und Persistenz in Entwicklertools etabliert, sollte das einfache Deinstallieren der betroffenen npm-Pakete oder das Löschen des node_modules-Verzeichnisses nicht als ausreichende Abhilfe angesehen werden.
In CI/CD-Umgebungen sollten betroffene Workflow-Ausführungen umgehend gestoppt werden. Organisationen sollten Build-Artefakte, die während des Expositionszeitraums erstellt wurden, für ungültig erklären und sorgfältig prüfen, ob Releases, Container-Images, npm-Pakete, Deployment-Artefakte oder andere Softwarekomponenten generiert wurden, nachdem das schädliche Paket in die Umgebung eingeschleust wurde.
