Lieferketten-Angriff

Schadsoftware Miasma infiziert npm und GitHub Actions

Schadsoftware
LinkedInRedditWhatsApp

Eine neue Infektionswelle der Miasma-Schadsoftware trifft npm-Pakete und GitHub Actions, um Entwicklerdaten und Cloud-Geheimnisse zu entwenden.

Sicherheitsforscher des Unternehmens Socket haben eine neue Kampagne der Schadsoftware-Familien Mini Shai-Hulud, Miasma und Hades identifiziert. Die Angriffe betreffen bösartige Veröffentlichungen in der npm-Registrierung, die insbesondere Pakete von LeoPlatform und RStreams kompromittieren. Die Ermittler vermuten, dass ein mit der LeoPlatform verknüpftes Entwicklerkonto namens czirker über gestohlene Zugangsdaten übernommen wurde.

Anzeige

Dies ermöglichte es den Angreifern, innerhalb eines Zeitfensters von wenigen Sekunden manipulierte Versionen hochzuladen. Die betroffenen npm-Pakete missbrauchen eine Konfigurationsdatei namens binding.gyp, um schadhaften Code direkt während des Installationsprozesses auszuführen. Dieses Skript lädt anschließend die Bun-Laufzeitumgebung herunter und startet ein Spionageprogramm, das Zugangsdaten und Tokens ausliest.

Manipulation von GitHub Actions und Diebstahl im Speicher

Die Kampagne beschränkt sich nicht auf Paketmanager, sondern manipuliert gezielt automatisierte Entwicklungsabläufe. Die Schadsoftware schleust einen Workflow mit dem Namen Run Copilot in die Systeme ein, um vertrauliche Daten der CI/CD-Umgebung direkt aus dem Arbeitsspeicher auszulesen. Die gestohlenen Informationen werden danach in öffentliche GitHub-Repositories hochgeladen. Zudem wurde eine Überschneidung mit einem Vorfall bei einer weit verbreiteten GitHub Action festgestellt. Das Sicherheitsunternehmen StepSecurity dokumentierte den Vorfall:

„Am 24. Juni 2026 um 15:39:06 UTC erzwang ein Angreifer einen bösartigen Commit bei codfish/semantic-release-action und leitete mehrere Versions-Tags um, sodass sie auf den bösartigen Commit zeigten.“

Anzeige

Sicherheitsunternehmen StepSecurity

Jedes System, das diese Tags nach diesem Zeitpunkt ausführte, infizierte sich direkt mit der Schadlast des Angreifers, die unter anderem GitHub-OIDC-Tokens entwendet.

Ausweitung von Miasma auf das Go-Ökosystem und Entwicklungsumgebungen

Die Angreifer haben ihre Aktivitäten zusätzlich auf das Go-Ökosystem ausgeweitet, wobei ein Modul des Verana-Blockchain-Projekts betroffen ist. Im Gegensatz zu den npm-Paketen nutzt die Schadsoftware hier keine Installations-Skripte des Paketmanagers. Stattdessen setzt der Angriff auf die Ausführung innerhalb der Quellcode-Verzeichnisse. Wenn ein Entwickler das kompromittierte Repository klont oder in einer vertrauenswürdigen integrierten Entwicklungsumgebung oder einem KI-gestützten Programmierassistenten öffnet, wird die Schadlast über die Projektkonfiguration gestartet.

Die Analysen von Endor Labs und OX Security zeigen zudem, dass die Schadsoftware stündlich GitHub nach bestimmten Commit-Zeichenfolgen durchsucht, um Aktualisierungen der Hades-Variante nachzuladen. Laut Angaben von JFrog sind die betroffenen Paketsets eng mit Cloud-nativen und serverlosen Workflows verzahnt, weshalb eine Kompromittierung auch nachgelagerte Software-Anwender gefährdet.

(red)


Anzeige
KI-Sicherheit
29. Juni 2026
KI-Nutzung – Unternehmen kämpfen mit Sicherheits- und Kontrollproblemen
Chipwerke, Dresden, Fachkräfte, Chipindustrie, Computerchip
29. Juni 2026
Südkorea investiert Milliarden in den Ausbau seiner Chipindustrie
ERP Bildquelle: ALPHAPLAN
29. Juni 2026
Warum Standard-ERP im Großhandel oft scheitern
Ford
29. Juni 2026
Ford kehrt zur menschlichen Expertise zurück

Weitere Artikel

75 Prozent betroffen: Cyberangriffe treffen drei von vier deutsche Unternehmen
Krypto-Handelsbot JaredFromSubway verliert 15 Millionen Dollar durch Manipulation
Cyberangriffe bereiten Deutschen größere Sorgen als Terror oder Naturkatastrophen
Millionen YouTube-Adblocker enthalten inaktiven Schadcode
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.