מתקפת Miasma: איך חשבון GitHub גנוב זיהם 32 חבילות npm של רד האט

עקיפת מנגנון הפרסום המהימן (OIDC)

הצעד הערמומי ביותר של התוקף היה ניצול הגישה הלגיטימית לעקיפת אחת הערבויות החזקות ביותר לאבטחת שרשרת האספקה. הוא השתמש בחשבון הפרוץ כדי להזריק תסריטי GitHub Actions זדוניים ישירות לתוך מאגרי הקוד .

מאפיין מרכזי של תסריטי העבודה האלו היה השימוש ב-OpenID Connect‏ (OIDC) לפרסום מהימן. באופן רגיל, OIDC מאפשר ל-GitHub Actions לבצע אימות מול npm לפרסום חבילות ללא צורך בטוקנים קבועים. מכיוון שתסריטי העבודה הזדוניים רצו על התשתית הרשמית של רד האט תוך שימוש בחשבון הפרוץ, הם הצליחו לייצר אישורי מקור (SLSA provenance attestations) תקפים. פעולה זו למעשה העניקה חותמת רשמית וניתנת לאימות לחבילות הנגועות, והטעתה מפתחים להאמין שהן גרסאות תקינות .

המטען של Miasma: גנב פרטי גישה משכפל-עצמית

הקוד הזדוני הוטמע בתוך תסריט preinstall שהוגדר בקובץ package.json. משמעות הדבר היא שהמטען הופעל אוטומטית ברגע שמפתח הריץ

npm install

הקוד הזדוני זוהה כווריאנט מותאם אישית של תולעת Mini Shai-Hulud הזמינה לציבור, המזוהה עם קבוצת התקיפה TeamPCP . כשהוא רץ, המטען, קובץ JavaScript מסתורי בנפח של כ-4.2 מגה-בייט, פעל כגנב מידע מקיף, ופגע במגוון רחב של חומרים רגישים :

• סודות CI/CD ואוטומציה: סודות של GitHub Actions וטוקני OIDC .
• פרטי גישה לפלטפורמות ענן: מפתחות וטוקנים של Amazon Web Services‏ (AWS),‏ Google Cloud Platform‏ (GCP) ו-Microsoft Azure .
• טוקני תשתית: טוקני Vault של HashiCorp לניהול סודות, וטוקני Kubernetes‏ (kubeconfig) לניהול קונטיינרים .
• מפתחות פיתוח וגישה: מפתחות SSH פרטיים, טוקני אימות של npm, ותוכן קבצי .env מקומיים .

מעבר לגניבה, לתולעת היה מנגנון הפצה עצמית. אם היא זיהתה שלמערכת הפרוצה יש מאגר Git המוגדר עם שרת origin מרוחק, היא שכפלה את המאגר, הזריקה לתוכו את הקוד הזדוני שלה, ודחפה את השינויים בחזרה. זה איפשר לנוזקה להתפשט לפרויקטים במורד הזרם ולהמשיך לצינורות CI/CD מחוברים . כחתימה סופית, התולעת שינתה את תיאור המאגרים הפרוצים לטקסט "Miasma: The Spreading Blight" .

התגובה הרשמית של רד האט

רד האט הכירה במהירות בתקרית ופרסמה את עדכון האבטחה RHSB-2026-006 . החברה הדגישה שהיקף הפגיעה של המתקפה היה מוגבל. החבילות הפרוצות הוגבלו אך ורק לרכיבי קצה (frontend) פנימיים ולכלים ללקוח API המשמשים את מסוף הענן ההיברידי של רד האט.

באופן קריטי, רד האט הצהירה שהקוד הנגוע לא סופק לאף תוכנה הפונה ללקוח או למוצרי רד האט בייצור. החברה הסירה מיד את כל החבילות המושפעות ממאגר npm עם גילוין .

צעדי תיקון דחופים

חברות אבטחה כמו Aikido, OX Security, Orca Security ו-Wiz פרסמו הנחיות דחופות לכל ארגון שייתכן שהתקין חבילות ממרחב @redhat-cloud-services בתאריך 1 ביוני 2026 או בסמוך לו .

1. החלף את כל פרטי הגישה מיד

יש להניח שכל פרט גישה שהיה קיים בסביבה מושפעת נפרץ. זה כולל מפתחות API של ספקי ענן, טוקני CI/CD, מפתחות SSH, טוקני Vault וטוקני פרסום ב-npm. החלפה מהירה היא הנתיב הבטוח היחיד.

2. סרוק מאגרי Git לאיתור "חתימת" התולעת

חפש במאגרי ה-GitHub של הארגון שלך. כל מאגר שמכיל את תיאור המחרוזת "Miasma: The Spreading Blight" נפרץ באופן פעיל על ידי מנוע ההפצה העצמית של התולעת ומכיל קוד זדוני .

3. בדוק חריגות ב-GitHub Actions

בצע ביקורת ידנית של תסריטי ה-GitHub Actions שלך. חפש בקשות משיכה בלתי צפויות, שינויים לא מורשים בקבצי זרימת עבודה, או הוספה של סודות לא ידועים. כל הזרקה ברמה הזו מייצגת מנגנון התמדה קריטי .

4. בדוק את גרסאות החבילות המותקנות

הצליב את תיקיית node_modules וקבצי הנעילה מול הרשימה המלאה של 96 גרסאות החבילה הפרוצות שפורסמה על ידי Aikido ורד האט. אם נמצאה התאמה, יש להתייחס למכונה ולפרטי הגישה המשויכים אליה כפרוצים לחלוטין ולבודד אותה מיד .

ייחוס: הקשר ל-TeamPCP

המטען של Miasma מבוסס ישירות על תולעת Mini Shai-Hulud, כלי לאיסוף פרטי גישה שקוד המקור שלו פורסם לאחרונה על ידי קבוצת התקיפה TeamPCP. התוקפים הרחיבו את התולעת הבסיסית עם קולטי מידע חדשים המכוונים במיוחד לפרטי גישה של GCP ו-Azure, מה שמדגים התפתחות פעילה ומתמשכת של האיום . קמפיין זה מדגיש מגמה מסוכנת שבה כלי תקיפה בקוד פתוח הופכים במהירות לכלי נשק ומורחבים לצורך פגיעה במטרות בעלות ערך גבוה בשרשרת האספקה.