Red Hat Sicherheitsleck: 32 Pakete mit Schadsoftware kompromittiert

Der jüngste Vorfall bei Red Hat zeigt, wie verwundbar selbst große Software-Schmieden sind.

Red Hat: Gestohlene Zugangsdaten als Einfallstor

Am 2. Juni bestätigte Red Hat einen schwerwiegenden Vorfall in seiner Lieferkette. Unbekannte hatten sich Zugang zu den Entwicklerkonten des Unternehmens verschafft und schädlichen Code in die npm-Pakete der @redhat-cloud-services-Reihe eingeschleust. Die als „Miasma" bezeichnete Kampagne wurde bereits am 1. Juni entdeckt und betrifft insgesamt 32 Pakete, die wöchentlich rund 80.000 Mal heruntergeladen werden.

Anzeige: Der Red-Hat-Vorfall zeigt: Selbst große Software-Schmieden sind verwundbar. Infostealer greifen gezielt Entwicklerkonten an – mit 26 Millionen Infektionen weltweit im Jahr 2025. Dieser Report liefert die wichtigsten Schutzmaßnahmen für Ihre Lieferkette. Jetzt kostenlosen Report anfordern

Die Spur führt zurück bis zum 13. April 2026. Damals tauchten die Zugangsdaten eines Red-Hat-Mitarbeiters erstmals in den Logs einer Infostealer-Software auf – dem eigentlichen Ausgangspunkt des Angriffs.

Schadsoftware mit mehrstufiger Tarnung

Der eingesetzte Schädling namens „Shai-Hulud" arbeitet mit einer mehrstufigen Payload-Kette. Über einen Preinstall-Hook schleuste er einen 4,29 MB großen Dropper ein, der anschließend Zugangsdaten für Cloud-Plattformen wie AWS, Azure, GCP sowie für GitHub und Kubernetes abgriff.

Besonders raffiniert: Die Angreifer nutzten GitHub selbst als Kommandozentrale. Über spezielle Commits mit dem Kennwort „firedalazer" konnten sie den Schadcode live aktualisieren. Red Hat betonte, dass Kunden vorerst keine Maßnahmen ergreifen müssten.

Infostealer auf dem Vormarsch

Der Vorfall bei Red Hat ist kein Einzelfall. Am 3. Juni meldete Malwarebytes, dass Infostealer inzwischen die bevorzugte Waffe in Phishing-Kampagnen sind. Der Grund: Sie lassen sich einfacher skalieren als traditionelle Methoden und hinterlassen weniger Spuren.

Die Zahlen belegen den Trend. In Indien verzeichnete Kaspersky 2025 einen Anstieg der Passwortdiebstahl-Angriffe um 20 Prozent. Insgesamt blockierte die Sicherheitsfirma 225.223 solcher Attacken in Unternehmensnetzwerken – im Jahr zuvor waren es noch 188.470. „Gestohlene Zugangsdaten sind oft der erste Schritt zu finanziellen Diebstählen und Erpressung", warnt Jaydeep Singh von Kaspersky India.

Entwickler im Visier: Falsche Installer als Köder

Seit März 2025 läuft eine gezielte Kampagne gegen Softwareentwickler. Angreifer schalten über Google-Anzeigen gefälschte Installer für Tools wie Claude Code, Cline und JetBrains. Wer darauf hereinfällt, lädt sich die Schadsoftware „Amatera" – eine Variante des ACRStealer – auf den Rechner.

Bis zum 14. Mai waren mindestens 32 dieser betrügerischen Domains noch aktiv. Die Malware stiehlt API-Schlüssel und Sitzungsdaten aus über 65 Browsern und 175 Kryptowährungs-Wallets. Zur Verschlüsselung setzt sie auf Post-Quanten-Kryptografie (ML-KEM-768).

Gaming-Communitys als neues Ziel

Auch die Spielewelt bleibt nicht verschont. Die WeedHack-Kampagne hat seit Januar 2025 rund 116.464 Minecraft-Systeme infiziert. Verbreitet wird der Schädling über YouTube und manipulierte Suchergebnisse. Das Modell: Malware-as-a-Service. Gestohlen werden Sitzungs-IDs und Browser-Cookies.

Parallel dazu entdeckte Kaspersky im April 2025 einen neuen Trojaner namens „Argamal". Er wurde über erwachsenenorientierte Spiele und Gaming-Foren verbreitet und traf Nutzer in Deutschland, Russland, Brasilien und Vietnam.

Anzeige: Infostealer sind auf dem Vormarsch: 35 % mehr Angriffe in 2025, 183 schädliche Chrome-Erweiterungen aktiv. Ihr Unternehmen braucht ein Frühwarnsystem, bevor gestohlene Zugangsdaten zu finanziellen Schäden führen. Dieser Leitfaden zeigt, wie Sie kompromittierte Konten frühzeitig erkennen. Frühwarnsystem-Leitfaden jetzt sichern

Immer raffiniertere Tarnmethoden

Die Täter werden technisch immer versierter. Seit Januar 2025 nutzt die russische Gruppe Gamaredon NTFS-Alternativdatenströme, um ihren Wurm „GammaWorm" zu verstecken. Diese Technik umgeht viele gängige Virenscanner.

Gleichzeitig baut die WaSteal-Kampagne ihre Infrastruktur aus. Aktuell sind 183 schädliche Chrome-Erweiterungen im Umlauf. Obwohl sie Daten abgreifen, sind viele noch in den offiziellen Stores verfügbar – ein Beleg für die anhaltenden Schwächen der Plattform-Moderation.

de | wissenschaft | 69481446 |