Red Hat NPM-Pakete kompromittiert: Schadcode verbreitende Backdoors entdeckt

Seit Montag verbreitet sich über die offiziellen NPM-Kanäle von Red Hat eine gefährliche Schadsoftware, die gezielt sensible Zugangsdaten abgreift und sich selbstständig auf weitere Systeme ausbreitet. Sicherheitsforscher des Unternehmens Aikido haben die Attacke als Teil einer ausgeklügelten Supply-Chain-Kampagne identifiziert, die Entwickler weltweit gefährdet.

Wie der Angriff die npm-Infrastruktur missbraucht

Die Kompromittierung betrifft das NPM-Konto @redhat-cloud-services, eine vertrauenswürdige Quelle für offizielle Red Hat-Pakete. Da dieses Konto mit Entwicklertools verknüpft ist, die für den Betrieb von Red Hats Cloud-Diensten genutzt werden, konnten die Angreifer ihre manipulierten Pakete unter dem Deckmantel legitimer Software verteilen. Die Sicherheitslücke ermöglicht es dem Schadcode, sich automatisch auf weitere Maschinen auszubreiten, sobald er in einem Projekt installiert wurde.

Bisher wurden mehr als 30 Pakete identifiziert, die von der Backdoor betroffen sind. Die genaue Methode, mit der die Angreifer Zugriff auf das NPM-Konto erhielten, ist noch unklar. Experten vermuten jedoch eine vorangegangene Kompromittierung von Anmeldedaten, möglicherweise durch eine frühere Supply-Chain-Attacke.

Mechanismus der Schadsoftware: Datendiebstahl und Ausbreitung

Die Backdoor installiert sich als versteckte Komponente in den betroffenen Paketen und beginnt sofort, nach sensiblen Informationen wie API-Schlüsseln, Passwörtern oder SSH-Zertifikaten zu suchen. Sobald sie solche Daten findet, sendet sie diese an einen externen Server, der von den Angreifern kontrolliert wird. Parallel dazu sucht der Schadcode nach weiteren verwundbaren Systemen, um sich weiterzuverbreiten – ein klassisches Verhalten eines Wurms.

Die Komplexität des Angriffs liegt in seiner Tarnung: Da die Pakete über offizielle Kanäle verteilt wurden, ist es für Entwickler nahezu unmöglich, die Manipulation ohne spezielle Sicherheitsprüfungen zu erkennen. Selbst automatisierte Scans könnten die Backdoor übersehen, wenn sie tief in den Abhängigkeitsbäumen der Pakete versteckt ist.

Handlungsempfehlungen für betroffene Entwickler

Betroffene sollten umgehend folgende Schritte einleiten, um das Risiko zu minimieren:

• Prüfen Sie Ihre Abhängigkeiten: Überprüfen Sie alle installierten Pakete auf verdächtige Aktivitäten oder unbekannte Versionen, insbesondere solche, die in den letzten Tagen aktualisiert wurden.
• Nutzen Sie Sicherheits-Tools: Setzen Sie Scanning-Tools wie npm audit oder dedizierte Supply-Chain-Sicherheitslösungen ein, um verdächtige Muster zu erkennen.
• Rotieren Sie Zugangsdaten: Wechseln Sie alle potenziell kompromittierten Passwörter, API-Schlüssel und Zertifikate sofort.
• Isolieren Sie betroffene Systeme: Falls ein Paket als infiziert identifiziert wurde, isolieren Sie die betroffenen Maschinen, um eine weitere Verbreitung zu verhindern.
• Melden Sie verdächtige Pakete: Informieren Sie Red Hat über verdächtige Aktivitäten im offiziellen NPM-Konto, um eine schnelle Reaktion zu ermöglichen.

npm audit --audit-level moderate

Langfristige Konsequenzen für die Softwareversorgung

Dieser Vorfall unterstreicht erneut die Verwundbarkeit der modernen Softwareversorgungskette. Supply-Chain-Angriffe wie dieser werden zunehmend zur bevorzugten Methode von Cyberkriminellen, da sie es ermöglichen, große Mengen an Opfern mit minimalem Aufwand zu erreichen. Für Unternehmen bedeutet das, dass die Sicherheit ihrer Lieferketten eine Priorität werden muss – nicht nur in puncto technischer Umsetzung, sondern auch in der kontinuierlichen Überwachung und dem Vertrauensmanagement.

Die IT-Branche steht vor der Herausforderung, neue Standards für die Authentifizierung und Überprüfung von Paketquellen zu entwickeln, um solche Angriffe zukünftig zu erschweren. Bis dahin bleibt Entwicklern nur die Empfehlung, ihre Sicherheitsprozesse zu überdenken und auf verdächtige Aktivitäten in ihren Abhängigkeiten zu achten.