6 月 2 日消息,科技媒体 bleepingcomputer 昨日(6 月 1 日)发布博文,报道称 Red Hat 名下 `@redhat-cloud-services` 命名空间超过 30 个 npm 包遭供应链攻击,遭到攻击者投放 Shai-Hulud 新变种“Miasma”。
安全公司 Aikido 称,这些包每周下载约 117000 次,攻击目标包括开发者凭据、云密钥、SSH 密钥和 CI / CD Token。
Aikido 与 OX Security 发现,多批 npm 包版本被加入后门。Red Hat 向 BleepingComputer 表示,公司已启动调查,并从 npm 注册表移除受影响包。
Red Hat 称,现有调查显示本次事件限于内部开发工具,恶意代码未通过 console.redhat.com 面向客户发布。
Aikido 称,攻击者据称先入侵一名 Red Hat 员工的 GitHub 账户,再向多个仓库直接推送恶意提交。这些提交加入 GitHub Actions 工作流和脚本,滥用 npm 发布机制,把带后门的版本发布出去。附上原文相关示意图如下:
技术细节显示,工作流运行后会安装 Bun,并执行 `_index.js`。脚本利用 `id-token:write` 权限向 GitHub 申请短期 OIDC Token,再用该 Token 连接 npm 的 trusted publishing 端点。
Aikido 称,恶意载荷约 4.2MB,可窃取 GitHub Actions secrets、AWS、Google Cloud、Azure 凭据、HashiCorp Vault Token、Kubernetes 服务账户 Token、npm 与 PyPI 发布 Token、SSH 密钥、Docker 凭据、GPG 密钥和 `.env` 文件。因此,安装过受影响版本的组织应立即轮换相关凭据、密钥和 Token。
这波攻击延续了近几个月 Shai-Hulud 相关供应链攻击的趋势,Bitwarden、SAP、Mistral、TanStack、OpenAI 和 GitHub 等项目此前也受影响。
研究人员称,Miasma 与 Mini Shai-Hulud 相似,但增加混淆、多阶段载荷投递和更强的数据窃取能力。截至原文发布时,已有 309 个 GitHub 仓库受到 Miasma 活动影响。
