Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign

Strategische Zusammenfassung

Microsoft Threat Intelligence hat eine groß angelegte npm Supply-Chain-Attacke aufgedeckt, die 32 Pakete im @redhat-cloud-services Namensraum kompromittiert hat. Die Angreifer nutzten eine kompromittierte CI/CD-Pipeline, um trojanisierte Pakete mit gültigen Provenienzsignaturen zu veröffentlichen. Ein Preinstall-Hook führte ein stark verschleiertes Dropper-Skript aus, das Credentials von Cloud-Diensten und Entwicklersystemen stahl und sich über weitere Pakete verbreitete. Microsoft informierte das npm-Team, woraufhin die betroffenen Repositories entfernt und zusätzliche Schutzmaßnahmen implementiert wurden.

Key Findings

• Kompromittierung von 32 npm-Paketen über die CI/CD-Pipeline von RedHatInsights/javascript-clients, ermöglicht durch Ausnutzung des legitimen OIDC-Publishing-Workflows.
• Einsatz eines Preinstall-Hooks, der einen hochgradig verschleierten 4,29 MB großen Dropper ausführt, um die Bun-Laufzeitumgebung herunterzuladen und Credential-Diebstahl durchzuführen.
• Diebstahl von Anmeldedaten aus GitHub, npm, AWS, Azure, GCP, HashiCorp Vault, Kubernetes und Entwicklersystemen, einschließlich SSH-Schlüsseln und Browserdaten.
• Wurmartige Ausbreitung durch Neuveröffentlichung vergifteter Pakete mit gefälschten SLSA-Provenienzsignaturen und Privilegieneskalation mittels passwortlosem sudo.
• Microsoft arbeitete mit dem npm-Team zusammen, um die Repositories zu entfernen und den Namensraum vor unbefugter Veröffentlichung zu schützen.