Näin Miasma-mato iski: Varastettu tunnus johti historialliseen Red Hatin npm-hyökkäykseen

OIDC-luotetun julkaisun kiertäminen

Hyökkääjän ovelin liike oli käyttää laillista pääsyä ohittaakseen yhden toimitusketjun vahvimmista nykyaikaisista tietoturvatakuista. Murtamansa tilin avulla hän lisäsi haitallisia GitHub Actions -työnkulkuja suoraan lähdekoodivarastoihin . Yksi näiden työnkulkujen avainominaisuuksista oli niiden käyttämä OpenID Connect (OIDC) -luotettu julkaisu (Trusted Publishing). Normaalisti OIDC mahdollistaa sen, että GitHub Actions voi todentaa itsensä npm:lle ja julkaista paketteja ilman pitkäikäisiä tokeneita. Koska haitalliset työnkulut suoritettiin Red Hatin virallisella infrastruktuurilla murrettua tiliä käyttäen, ne kykenivät generoimaan kelvollisia SLSA-alkuperävarmenteita (SLSA Provenance). Tämä antoi peukaloiduille paketeille varmennetun, muodollisen leiman aitoudesta, hämäämällä kehittäjät luottamaan takaportitettuihin julkaisuihin .

Miasman hyötykuorma: Itsestään kopioituva tunnusvaras

Haitallinen koodi oli upotettu package.json-tiedostossa määriteltyyn preinstall-skriptiin. Tämä tarkoitti, että haittakoodi suoritettiin automaattisesti sillä hetkellä, kun kehittäjä ajoi

npm install

• CI/CD- ja automaatiosalaisuudet: GitHub Actions -salaisuudet ja tuoreet OIDC-tokenit.
• Pilvialustojen tunnistetiedot: Avaimet ja tokenit palveluihin, kuten Amazon Web Services (AWS), Google Cloud Platform (GCP) ja Microsoft Azure.
• Infrastruktuuritokenit: HashiCorp Vault -tokenit salaisuuksien hallintaan ja Kubernetes-tokenit (kubeconfig) konttien hallintaan.
• Kehitys- ja pääsyavaimet: SSH-yksityisavaimet, npm-todennustokenit ja paikallisten .env-tiedostojen sisältö.

Puhtaan tietovarkauden lisäksi madolla oli itsestään kopioitumismekanismi. Jos se havaitsi, että tartunnan saaneessa järjestelmässä oli Git-varasto, jossa oli määritelty origin-etäosoite, se kloonasi varaston, lisäsi haitallisen koodinsa siihen ja puski muutokset takaisin. Tämä mahdollisti haittaohjelman leviämisen alavirran projekteihin ja yhä syvemmälle kytkettyihin CI/CD-putkistoihin . Viimeiseksi allekirjoituksekseen mato muokkasi vaarantamiensa tietovarastojen kuvaustekstiksi "Miasma: The Spreading Blight" .

Red Hatin virallinen vastaus

Red Hat tunnusti tapahtuneen nopeasti ja julkaisi tietoturvatiedotteen RHSB-2026-006 . Yhtiö korosti, että hyökkäyksen vaikutus säilyi rajattuna. Vaarantuneet paketit rajoittuivat tiukasti sisäisiin käyttöliittymäkomponentteihin ja API-asiakastyökaluihin, joita käytettiin Red Hat Hybrid Cloud Console -hallintapaneelissa.

Kriittisesti Red Hat totesi, että takaportitettua koodia ei ollut toimitettu missään asiakkaalle näkyvässä ohjelmistossa tai Red Hatin tuotantotuotteissa. Yhtiö poisti välittömästi kaikki vaarantuneet paketit npm-rekisteristä havainnon jälkeen .

Kiireelliset korjaustoimenpiteet

Tietoturvayhtiöt, kuten Aikido, OX Security, Orca Security ja Wiz, ovat antaneet kiireellisiä ohjeita kaikille organisaatioille, jotka ovat saattaneet asentaa paketteja @redhat-cloud-services-nimiavaruudesta 1. kesäkuuta 2026 tai sen aikoihin .

1. Vaihda kaikki tunnistetiedot välittömästi

Oleta, että jokainen tunniste, joka oli olemassa vaarantuneessa ympäristössä, on murrettu. Tämä koskee kaikkia pilvipalveluiden API-avaimia, CI/CD-ajureiden tokeneita, SSH-avaimia, Vault-tokeneita ja npm-julkaisutokeneita. Vaihtaminen (rotaatio) on ainoa turvallinen tie eteenpäin.

2. Tarkasta Git-tietovarastot madon allekirjoituksen varalta

Etsi organisaatiosi GitHub-tietovarastoista varastoja, joiden kuvauskenttänä on "Miasma: The Spreading Blight". Madon itsestään kopioitumismekanismi on aktiivisesti vaarantanut tällaiset tietovarastot, ja ne sisältävät haitallista koodia .

3. Tarkista GitHub Actions -työnkulut poikkeamien varalta

Suorita manuaalinen tarkastus GitHub Actions -työnkulkuihisi. Etsi odottamattomia pull requesteja, luvattomia muutoksia olemassa oleviin työnkulkutiedostoihin tai tuntemattomien salaisuuksien lisäyksiä. Mikä tahansa injektio tällä tasolla merkitsee kriittistä pysyvää uhkamekanismia .

4. Tarkista asennetut pakettiversiot

Ristiinvertaa node_modules-hakemistosi ja lock-tiedostosi Aikidon ja Red Hatin julkaisemaan täydelliseen listaan 96:sta vaarantuneesta pakettiversiosta. Jos osuma löytyy, pidä kyseistä konetta ja siihen liittyviä tunnuksia täysin murrettuina ja eristä se välittömästi .

Attribuutio: TeamPCP-yhteys

Miasman hyötykuorma on suoraa jatketta Mini Shai-Hulud -madosta, joka on TeamPCP-uhkatoimijan äskettäin avoimen lähdekoodin piiriin vapauttama tunnustenkeräystyökalu. Hyökkääjät laajensivat perusmatoa uusilla keräilijöillä, jotka kohdistuivat erityisesti GCP- ja Azure-pilvitunnistetietoihin, osoittaen uhkatekijän aktiivista ja jatkuvaa evoluutiota . Kampanja alleviivaa vaarallista kehityssuuntaa, jossa avoimen lähdekoodin hyökkäystyökalut aseistetaan ja hiotaan nopeasti arvokkaisiin toimitusketjuihin kohdistuvia iskuja varten.