Tientallen Red Hat npm-packages voorzien van infostealer-malware

In dit artikel:

Aanvallers hebben 31 npm-pakketten uit de scope @redhat-cloud-services geïnfecteerd met een infostealer die ontwikkelaarsystemen besmet zodra die pakketten worden gedownload en geïnstalleerd. Volgens StepSecurity hebben die gemanipuleerde modules samen meer dan 100.000 wekelijkse downloads. De malware fungeert als credential harvester en rooft secrets, tokens en credentials voor onder andere GitHub Actions, AWS, GCP, Azure, Kubernetes, HashiCorp Vault, npm en CircleCI. Met gestolen npm-tokens probeert de aanval bovendien kwaadaardige, besmette versies van projecten te publiceren waartoe het slachtoffer toegang heeft. JFrog Security wijst de operatie toe aan de groep TeamPCP, die eerder betrokken zou zijn geweest bij meerdere supply-chain-aanvallen op grotere leveranciers en tools zoals SAP, Bitwarden, Trivy en GitHub.

Advies: verwijder verdachte packages, roteer getroffen credentials en tokens, voer dependency-scans en audits uit en beperk privileges en toegangstokens om verdere verspreiding te voorkomen.