Ein neuer Supply-Chain-Angriff sorgt in der Open-Source-Community für Alarmstimmung: Mehrere npm-Pakete unter dem offiziellen Namespace @redhat-cloud-services wurden mit schädlichem Code kompromittiert. Betroffen sind zahlreiche Pakete, die tief in der Infrastruktur von Red Hat Cloud Services verwurzelt sind – darunter unter anderem @redhat-cloud-services/chrome, compliance-client, config-manager-client, entitlements-client sowie verschiedene Frontend-Komponenten und ESLint-Konfigurationen.
Wie der Angriff funktioniert
Bei einem Supply-Chain-Angriff dieser Art wird nicht das eigentliche Produkt direkt angegriffen, sondern die Lieferkette darunter – in diesem Fall der npm-Paketmanager. Angreifer schleusen Schadcode in legitim wirkende Paketversionen ein, die anschließend von Entwicklern und automatisierten Build-Systemen heruntergeladen und in eigene Projekte integriert werden. Besonders kritisch: Viele Entwickler vertrauen etablierten Namespaces wie dem von Red Hat blind, ohne einzelne Versionen auf Integrität zu prüfen. Bei den betroffenen Paketen wurden konkrete Versionsnummern identifiziert – beim entitlements-client etwa die Versionen 4.0.11, 4.0.12 und 4.0.14.
Weitreichende Auswirkungen für Unternehmensumgebungen
Die betroffenen Pakete sind keine Nischenprodukte. Sie werden aktiv in Unternehmensanwendungen eingesetzt, die auf Red Hat Cloud Services aufsetzen – einer Plattform, die in vielen großen Organisationen und Behörden weltweit im Einsatz ist. Wer diese Pakete in den genannten kompromittierten Versionen in seinen Build-Prozess integriert hat, muss davon ausgehen, dass Schadcode in die eigene Software oder Infrastruktur eingeflossen ist. Das Sicherheitsunternehmen StepSecurity, das den Vorfall aufgedeckt und gemeldet hat, stellt ein öffentliches OSS-Security-Feed bereit, über das betroffene Pakete nachverfolgt werden können.
Supply-Chain-Angriffe: Ein wachsendes Problem
Der Vorfall reiht sich in eine beunruhigende Serie ähnlicher Attacken ein. Spätestens seit dem SolarWinds-Hack von 2020 und dem XZ-Utils-Backdoor-Vorfall von 2024 ist klar, dass Angreifer zunehmend auf die Kompromittierung von Entwicklerwerkzeugen und Paket-Repositories setzen. npm ist dabei ein besonders attraktives Ziel: Das Registry hostet über zwei Millionen Pakete, wird täglich milliardenfach abgerufen und ist tief in moderne JavaScript- und Node.js-Entwicklungsprozesse integriert. Automatisierte CI/CD-Pipelines, die Abhängigkeiten ohne manuelle Prüfung installieren, verstärken das Risiko erheblich.
Was Entwickler jetzt tun sollten
Wer Projekte betreibt, die auf @redhat-cloud-services-Paketen basieren, sollte umgehend die eingesetzten Versionen prüfen und betroffene Versionen durch saubere Releases ersetzen. Darüber hinaus empfiehlt sich generell der Einsatz von Tools zur Abhängigkeitsüberwachung, das Pinnen von Paketversionen über Lockfiles sowie die Integration von Software Composition Analysis (SCA) in den Build-Prozess. Red Hat selbst hat den Issue im offiziellen GitHub-Repository bestätigt. Weitere Informationen und eine aktualisierte Liste betroffener Pakete werden dort fortlaufend gepflegt.
Quellen: Hacker News