Kwaadaardige code aangetroffen in npm-packages van Red Hat

dinsdag, 2 juni 2026 (09:55) - Techzine

In dit artikel:

Onderzoekers hebben recent kwaadaardige code gevonden in tientallen npm‑packages die onder de naam van Red Hat waren gepubliceerd. Beveiligingsbedrijven Wiz en Socket ontdekten dat de malware in meerdere versies van packages binnen de Red Hat Cloud Services‑omgeving zat (Wiz: ten minste 32 versies, ongeveer 80.000 downloads per week; Socket: tot 95 versies). De besmetting is het resultaat van een supply chain‑aanval waarbij aanvallers toegang kregen tot een GitHub‑account van een Red Hat‑medewerker en wijzigingen direct naar twee repositories van Red Hat Insights pushten, waarmee normale controleprocessen werden omzeild.

De schadelijke code gebruikte een preinstall‑hook, waardoor de malware al tijdens een npm‑installatie draaide; gebruik van de software zelf was daarvoor niet nodig. Analyses tonen aan dat de payload gericht is op het buitmaken van gevoelige ontwikkel‑ en cloudgegevens: GitHub Actions‑secrets, npm‑tokens, cloudreferenties, Kubernetes‑configs, Vault‑gegevens en SSH‑sleutels. Ook bevatte de code mechanismen om gestolen data versleuteld af te voeren en om mogelijke verdere besmettingen te veroorzaken.

Onderzoekers zien sterke overeenkomsten met de Mini Shai‑Hulud‑worm, een malwarefamilie die zich op ontwikkelaars en CI/CD‑omgevingen richt en eerder dit jaar al met grootschalige supply chain‑incidenten in verband werd gebracht. Omdat de broncode van de malware (toegeschreven aan een groep die TeamPCP heet) eerder openbaar beschikbaar werd gemaakt, is onduidelijk of dezelfde actor achter deze aanval zit of dat de code is hergebruikt.

Red Hat bevestigt het incident, heeft de betrokken packages uit de npm‑registry verwijderd en doet onderzoek. Het bedrijf zegt dat de getroffen packages bedoeld waren voor intern gebruik en vooralsnog geen aanwijzingen bestaan dat klant‑ of productiesystemen zijn aangetast. Beveiligingsonderzoekers raden organisaties die een besmette versie hebben geïnstalleerd aan om alle relevante tokens en toegangsgegevens direct te roteren en hun CI/CD‑omgevingen te controleren.