Zákeřný červ Miasma: Z ukradeného účtu Red Hatu do vašeho kódu během okamžiku

Obcházení důvěryhodného publikování OIDC

Nejlstivějším krokem útočníka bylo zneužití legitimního přístupu k obejití jedné z nejsilnějších moderních bezpečnostních záruk dodavatelského řetězce. Pomocí kompromitovaného účtu vložil škodlivé workflow GitHub Actions přímo do zdrojových repozitářů .

Klíčovou vlastností těchto workflow bylo použití OpenID Connect (OIDC) pro důvěryhodné publikování. Normálně OIDC umožňuje GitHub Actions ověřit se vůči npm pro publikování balíčků bez dlouhodobých tokenů. Vzhledem k tomu, že škodlivé workflow běžely na oficiální infrastruktuře Red Hatu s použitím ukradeného účtu, dokázaly generovat platné SLSA provenienční atestace. Tímto způsobem opatřily zmanipulované balíčky ověřitelným, formálním puncem legitimity a přiměly vývojáře, aby důvěřovali infikovaným vydáním .

Nálož Miasma: Samošířící se zloděj přihlašovacích údajů

Škodlivý kód byl vložen do preinstall skriptu specifikovaného v souboru package.json. To znamenalo, že se nálož spustila automaticky v okamžiku, kdy vývojář spustil

npm install

Nálož byla identifikována jako vlastní varianta veřejně dostupného červa Mini Shai-Hulud, spojovaného s aktérem hrozby TeamPCP . Po spuštění začal přibližně 4,2 MB velký, zamlžený JavaScriptový kód fungovat jako komplexní sběrač informací a zaměřil se na širokou škálu citlivých materiálů :

• Tajemství CI/CD a automatizace: Tajemství GitHub Actions a čerstvé OIDC tokeny .
• Přihlašovací údaje cloudových platforem: Klíče a tokeny pro Amazon Web Services (AWS), Google Cloud Platform (GCP) a Microsoft Azure .
• Tokeny infrastruktury: Tokeny HashiCorp Vault pro správu tajemství a tokeny Kubernetes (kubeconfig) pro orchestraci kontejnerů .
• Vývojářské a přístupové klíče: Soukromé SSH klíče, npm autentizační tokeny a obsah místních .env souborů .

Kromě čiré krádeže disponoval červ mechanismem pro vlastní propagaci. Pokud zjistil, že kompromitovaný systém má Git repozitář nakonfigurovaný s origin vzdáleným úložištěm, naklonoval ho, vložil do něj svůj škodlivý kód a změny odeslal zpět. To malwaru umožnilo šířit se do navazujících projektů a dále do připojených CI/CD pipeline . Jako svůj finální podpis červ změnil popis kompromitovaných repozitářů na text „Miasma: The Spreading Blight“ .

Oficiální odpověď Red Hatu

Red Hat incident rychle uznal a vydal bezpečnostní bulletin RHSB-2026-006 . Společnost zdůraznila, že rozsah útoku byl omezený. Kompromitované balíčky byly striktně omezeny na interní frontendové komponenty a klientské nástroje API používané pro Red Hat Hybrid Cloud Console.

Zásadní je, že Red Hat prohlásil, že infikovaný kód nebyl distribuován v žádném softwaru určeném zákazníkům ani v produkčních produktech Red Hatu. Společnost po odhalení okamžitě odstranila všechny dotčené balíčky z npm registru .

Krizové kroky k nápravě

Bezpečnostní firmy včetně Aikido, OX Security, Orca Security a Wiz vydaly naléhavé pokyny pro každou organizaci, která mohla nainstalovat balíčky z jmenného prostoru @redhat-cloud-services 1. června 2026 nebo kolem tohoto data .

1. Okamžitě rotujte všechny přihlašovací údaje

Předpokládejte, že jakékoliv přihlašovací údaje, které existovaly v dotčeném prostředí, jsou kompromitovány. To zahrnuje všechny API klíče poskytovatelů cloudu, tokeny CI/CD runnerů, SSH klíče, Vault tokeny a npm tokeny pro publikování. Rotace je jedinou bezpečnou cestou vpřed.

2. Prověřte Git repozitáře na signaturu červa

Prohledejte GitHub repozitáře vaší organizace. Jakýkoli repozitář s popisem „Miasma: The Spreading Blight“ byl aktivně kompromitován samo-propagačním mechanismem červa a obsahuje škodlivý kód .

3. Zkontrolujte GitHub Actions na anomálie

Ručně prověřte svá workflow GitHub Actions. Hledejte neočekávané pull requesty, neautorizované modifikace existujících souborů workflow nebo přidání neznámých tajemství. Jakákoli injekce na této úrovni představuje kritický mechanismus persistence .

4. Zkontrolujte nainstalované verze balíčků

Porovnejte své node_modules a lockfile se seznamem všech 96 kompromitovaných verzí balíčků zveřejněných společnostmi Aikido a Red Hat. Pokud najdete shodu, považujte daný stroj a jeho přidružené přihlašovací údaje za plně kompromitované a okamžitě jej izolujte .

Atribuce: Spojení s TeamPCP

Nálož Miasma je přímo odvozena od červa Mini Shai-Hulud, nástroje pro sběr přihlašovacích údajů, který byl nedávno open-sourcován aktérem hrozby TeamPCP. Útočníci rozšířili základního červa o nové sběrače specificky zaměřené na cloudové přihlašovací údaje GCP a Azure, což dokládá aktivní a pokračující evoluci hrozby . Kampaň podtrhuje nebezpečný trend, kdy jsou open-source útočné nástroje rychle zneužívány a zdokonalovány pro vysoce hodnotné cíle v dodavatelských řetězcích.