Zum Inhalt springen

Miasma-Malware infiziert npm-Pakete und GitHub Actions mit Datendiebstahl

Auf den Punkt: Malware nutzt kompromittierte npm-Pakete und manipulierte GitHub-Actions zur Exfiltration von Tokens und Zugangsdaten direkt aus CI/CD-Umgebungen und Entwicklerspeichern.

Sicherheitsforscher von Socket haben eine koordinierte Kampagne der Malware-Familien Mini Shai-Hulud, Miasma und Hades dokumentiert, die npm-Pakete, GitHub-Workflows und Go-Module infiltriert, um Entwickler-Zugangsdaten und Cloud-Secrets zu entwenden.

Die npm-Registry wurde mit bösartigen Paketversionen der LeoPlatform und RStreams infiltriert. Socket-Forscher ermittelten, dass das Entwicklerkonto „czirker” mit gestohlenen Anmeldedaten übernommen wurde und Angreifer dadurch innerhalb von Sekunden manipulierte Versionen hochladen konnten. Die Malware nutzt die Konfigurationsdatei binding.gyp, um Schadcode bereits während der Paketinstallation auszuführen. Danach wird die Bun-Laufzeitumgebung heruntergeladen und ein Spionageprogramm gestartet, das Zugangsdaten und Tokens ausliest.

Ein zentraler Angriffsvektor targeting GitHub Actions ist der Workflow „Run Copilot”, welcher der CI/CD-Umgebung sensible Daten direkt aus dem Arbeitsspeicher extrahiert und diese anschließend in öffentliche GitHub-Repositories hochlädt. StepSecurity dokumentierte zudem eine Kompromittierung der weit genutzten GitHub Action codfish/semantic-release-action: Am 24. Juni 2026 um 15:39:06 UTC zwangen Angreifer einen bösartigen Commit ein und umleiteten mehrere Versions-Tags darauf. Jedes System, das diese Tags nach diesem Zeitpunkt ausführte, infizierte sich mit der Schadlast, die unter anderem GitHub-OIDC-Tokens erbeutete.

Die Kampagne beschränkt sich nicht auf JavaScript-Ökosysteme: Malware-Varianten infiltrieren auch Go-Module des Verana-Blockchain-Projekts. Anders als bei npm-Paketen werden hier keine Installations-Skripte genutzt; stattdessen wird Schadcode über Projektkonfigurationen ausgeführt, sobald ein Entwickler das Repository klont oder in einer IDE oder KI-gestützten Programmierassistentin öffnet.

Analysen von Endor Labs und OX Security zeigen, dass die Hades-Variante stündlich GitHub nach spezifischen Commit-Mustern durchsucht, um sich selbst zu aktualisieren. Besonders kritisch für CISOs ist die Erkenntnis von JFrog, dass die kompromittierten Paketsets eng mit Cloud-nativen und serverlosen Workflows verflochten sind. Eine Kompromittierung auf dieser Ebene gefährdet daher auch nachgelagerte Softwarenutzer in der Lieferkette.


Quelle: www.it-daily.net · Erschienen 29. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: