Onderzoekers van StepSecurity hebben ontdekt dat tientallen npm-packages van Red Hat zijn voorzien van infostealer-malware. Het gaat om 31 gecompromitteerde packages binnen de @redhat-cloud-services scope, die gezamenlijk meer dan 100.000 wekelijkse downloads genereren. Door deze packages te installeren, lopen ontwikkelaars het risico dat hun systemen worden geïnfecteerd met malware die gevoelige gegevens steelt.

De malware fungeert als een credential harvester en verzamelt secrets, credentials en tokens die gebruikt worden voor diverse platforms en diensten, waaronder GitHub Actions, AWS, Google Cloud Platform, Azure, Kubernetes, HashiCorp Vault, npm en CircleCI. Daarnaast richt de malware zich op de softwareprojecten van de getroffen ontwikkelaars. Met de gestolen npm-tokens probeert de malware besmette versies van de packages te publiceren waar het slachtoffer toegang toe heeft, waardoor de aanval zich verder kan verspreiden.

Volgens cybersecuritybedrijf JFrog Security is de aanval afkomstig van een groep aanvallers die bekendstaat als TeamPCP. Deze groep wordt ook in verband gebracht met eerdere supplychain-aanvallen op onder andere SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy en GitHub. Meer informatie over de getroffen npm-packages is te vinden in het issue op GitHub, terwijl StepSecurity de details van de malware en de aanval beschrijft in hun blogpost.