Das Security-Tool, das Ihr Entwickler gerade installiert hat, hat möglicherweise bereits Ihre Cloud-Keys gestohlen.

Das Security-Tool, das Ihr Entwickler gerade installiert hat, hat möglicherweise bereits Ihre Cloud-Keys gestohlen.

Red Hats offizieller npm-Namespace wurde am 1. Juni kompromittiert. Zweiunddreißig Pakete unter @redhat-cloud-services – zusammen rund 80.000 Downloads pro Woche – enthielten ein Preinstall-Skript, das ausgeführt wurde, bevor eine einzige Zeile Anwendungscode lief. Bis das Paket fertig installiert war, hatte es bereits das System nach GitHub-Tokens, AWS- und Azure-Zugangsdaten, Kubernetes-Secrets, SSH-Keys und Umgebungsdateien durchsucht.

Was passierte: Das GitHub-Konto eines Red-Hat-Mitarbeiters wurde kompromittiert. Infostealer-Logs zeigen, dass die Zugangsdaten seit dem 13. April bereits in Dark-Web-Märkten kursierten. Der Angreifer nutzte das Konto, um bösartige Orphan-Commits in offizielle Red-Hat-Repositories zu pushen und dabei Code-Review-Prozesse zu umgehen.

Wenn Ihre Entwickler npm-Pakete unter @redhat-cloud-services installieren: Prüfen Sie alle Systeme auf Kompromittierung. Rotieren Sie alle betroffenen Cloud-Credentials sofort. Auditieren Sie Ihre Preinstall-Hooks über alle Dependencies hinweg.

Supply-Chain-Angriffe über Paket-Manager nehmen zu. Der Angriffsvektor ist nicht mehr nur der Code selbst – es sind die Installationsscripts, die vor allem anderen laufen.