NEU HIGH
Red-Hat-Infostealer kommt auf mehr als 100.000 Downloads
Key Insight
Ein npm-basierter Infostealer mit über 100.000 Downloads demonstriert aktive Lieferketten-Gefährdung durch manipulierte Open-Source-Pakete, die Credentials und Umgebungsdaten von Entwicklern exfiltrieren.
Beschreibung
Ein als Red-Hat-Infostealer bezeichnetes Schadprogramm wurde über npm-Registry verteilt und basiert auf dem Wurm Mini Shai-Hulud. Die Malware zielt auf Entwickler und Cloud-Services-Umgebungen ab, um Zugangsdaten, API-Schlüssel und Konfigurationsdaten zu stehlen. Mit über 100.000 Downloads zeigt sich eine breite Exposition in der Softwareentwicklungs-Supply-Chain. Die Kampagne demonstriert, dass npm-Repositorien weiterhin für Lieferketten-Angriffe missbraucht werden, insbesondere gegen Unternehmens-Cloud-Infrastruktur.
Risk Score
20
- cvss base
- 0.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 0.00
- industry weight
- 1.10
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational