Typosquatted npm packages used to steal cloud and CI/CD secrets
Key Insight
Aktive Supply-Chain-Attacke auf npm-Ökosystem mit gezieltem Diebstahl von AWS-, Vault- und CI/CD-Secrets durch Typosquatting bekannter DevOps-Bibliotheken.
Beschreibung
Ein unbekannter Angreifer unter dem Alias vpmdhaj veröffentlichte am 28. Mai 2026 innerhalb von vier Stunden 14 bösartige npm-Pakete, die populäre OpenSearch-, Elasticsearch- und DevOps-Bibliotheken nachahmen. Die Pakete enthalten einen Installer-Stager, der bei der Installation AWS-Anmeldedaten, HashiCorp-Vault-Token und CI/CD-Pipeline-Secrets aus der Host-Umgebung stiehlt. Die kompromittierten Secrets ermöglichen direkten Zugriff auf Cloud-Infrastruktur und Automatisierungs-Pipelines. Microsoft hat die Malware analysiert und Indicators of Compromise sowie Mitigationsmaßnahmen veröffentlicht.
Risk Score
- cvss base
- 45.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 45.00
- industry weight
- 1.10
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
- consensus penalty
- -3.00
Pfad: operational