Ein neuer Wurm namens Miasma hat am 1. Juni 2026 manipulierte Versionen von 32 Red-Hat-npm-Paketen veröffentlicht und stiehlt damit Zugangsdaten direkt aus Entwicklungsumgebungen. Der Schädling zielt gezielt auf Cloud-Identitäten und CI/CD-Pipelines. Für jedes Team mit Node.js-Abhängigkeiten ist das ein Grund, die eigene Lieferkette zu prüfen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Der npm-Wurm Miasma reiht sich in die Serie der Shai-Hulud-Angriffe ein und trifft diesmal den Namespace @redhat-cloud-services. Sicherheitsforscher von Socket, Wiz und weiteren Firmen entdeckten am 1. Juni 2026 insgesamt 96 manipulierte Paketversionen.
Das Wichtigste in Kürze
- Am 1. Juni 2026 wurden 32 Pakete im npm-Namespace @redhat-cloud-services in 96 Versionen mit Schadcode versehen.
- Der Wurm führt sich beim Installieren über einen Preinstall-Hook aus und stiehlt Zugangsdaten zu AWS, GCP, Azure und Kubernetes.
- Red Hat stoppte alle drei Angriffswellen und meldet keine Auswirkung auf Kundenumgebungen oder Produktionssysteme.
- Die betroffenen Pakete zählen je nach Quelle rund 80.000 bis 117.000 wöchentliche Downloads.
Was macht Miasma so gefährlich?
Der Schadcode läuft schon während der Installation, bevor ein Entwickler das Paket überhaupt einbindet. Er sammelt Secrets und zielt verstärkt auf Cloud-Identitäten, neue Sammler für GCP und Azure kamen hinzu. Cloud-Zugänge stehen damit stärker im Visier als bei früheren Wellen.
Besonders tückisch ist die Tarnung über npms Trusted Publishing. Jede bösartige Version trug eine gültige Provenance-Attestation über GitHub Actions, weshalb CVE-basierte Scanner nichts fanden. Gültige Signatur macht den Angriff für klassische Prüfungen unsichtbar.
Auffällig ist außerdem das Ziel auf KI-Entwicklungswerkzeuge. Der Wurm nistet sich in Konfigurationsdateien wie .claude/settings.json und VS-Code-Tasks ein, um Coding-Agenten zu kapern. KI-Coding-Tools werden so zum neuen Einfallstor.
Die nächste Lieferketten-Lücke kommt nicht über eine offene Tür, sondern über ein signiertes Paket aus vertrauter Quelle. Wer nur auf bekannte CVEs schaut, sieht diese Angriffe gar nicht.
— Markus Seyfferth, Chefredakteur Dr. Web
Woher kommt die Angriffswelle?
Miasma ist eine Variante des quelloffenen Mini-Shai-Hulud-Baukastens. Die Hackergruppe TeamPCP stellte den Wurm Mitte Mai öffentlich auf GitHub und rief zu einem Wettbewerb um die größten Lieferkettenangriffe auf. Niedrige Einstiegshürde macht die Urheberschaft kaum noch zuordenbar.
Der Name spielt mit dem Thema: Statt der Dune-Referenzen früherer Wellen nutzt diese Variante griechische Mythologie und beschreibt sich selbst als „Miasma: The Spreading Blight“. Die technische Analyse hat Socket dokumentiert. Gleiches Schema trägt nur einen neuen Anstrich.
Wie schützen Sie Ihre Pipeline?
Setzen Sie ein Quarantänefenster für neue Paketversionen, statt Patch-Updates automatisch zu mergen. Scannen Sie Pakete vor der Installation und entschärfen Sie automatisch ausgeführte Preinstall-Hooks. Quarantäne vor dem Build fängt genau das Zeitfenster ab, in dem der Wurm zuschlägt.
Rotieren Sie im Zweifel alle Zugangsdaten auf betroffenen Systemen und prüfen Sie GitHub-Token sowie Cloud-Schlüssel. Wie systematisch Angreifer über Endgeräte und Tools eindringen, zeigt unsere CISO-Studie 2026. Credentials rotieren gehört nach jedem Verdacht zur Pflicht.
Prüfen Sie heute, ob Ihre Projekte Pakete aus dem betroffenen Namespace nutzen, und sperren Sie ungeprüfte automatische Updates in der CI. Für NIS-2-pflichtige Betriebe gehört dieser Schritt ohnehin zur dokumentierten Risikovorsorge.
