SlowMist hat eine Sicherheitswarnung herausgegeben bezüglich eines aktiven npm-Lieferkettenangriffs, der Softwarepakete im Zusammenhang mit @redhat-cloud-services ins Visier nimmt. Laut ChainCatcher sind über 31 Pakete betroffen, mit einem wöchentlichen Download-Volumen von etwa 116.000. Mehr als 300 GitHub-Repositories wurden mit gestohlenen Zugangsdaten gefunden. Der Angriff ähnelt dem vorherigen 'Shai-Hulud'-npm-Angriff, der Diebstahl von Zugangsdaten, die Erstellung von bösartigen Repositories und automatisierte Geheimnislecks umfasste. Neue verdächtige Repositories tauchen weiterhin auf, was darauf hinweist, dass der Angriff noch im Gange ist und Entwickler weiterhin infiziert werden.

Mögliche Risiken beinhalten den Diebstahl von GitHub/npm-Tokens, die Exposition von AWS/GCP/Azure-Cloud-Anmeldeinformationen, das Sammeln von SSH-Schlüsseln und Kubernetes-Geheimnissen, das Lecken von lokalen Umgebungs- und Wallet-Daten, die Erstellung von bösartigen Repositories und anhaltende Operationen. Selbst nach der Token-Aberkennung können destruktive Aktionen auftreten. Es wird empfohlen, betroffene @redhat-cloud-services-Paketversionen sofort zu entfernen oder herunterzustufen, die CI/CD-Workflows und Abhängigkeitsinstallationen gründlich zu prüfen, alle GitHub-, npm-, Cloud-Service-, SSH- und wallet-bezogenen Schlüssel zu rotieren, Protokolle zu speichern und die exponierten Entwicklermaschinen oder Runner aus sauberen Images neu aufzubauen, während man hohe Wachsamkeit aufrechterhält.