Serangan Miasma Red Hat: Runtuhnya Kepercayaan dari Satu Akun GitHub yang Diretas

Melewati Sistem Penerbitan Tepercaya OIDC

Langkah paling licik penyerang adalah memanfaatkan akses sah tersebut untuk melewati salah satu jaminan keamanan rantai pasok modern terkuat. Mereka menggunakan akun yang disusupi untuk menyuntikkan alur kerja (workflow) GitHub Actions berbahaya langsung ke repositori sumber .

Fitur utama dari alur kerja ini adalah penggunaan OpenID Connect (OIDC) untuk penerbitan tepercaya. Biasanya, OIDC memungkinkan GitHub Actions mengautentikasi ke npm untuk menerbitkan paket tanpa token jangka panjang. Karena alur kerja berbahaya dijalankan di infrastruktur resmi Red Hat menggunakan akun yang disusupi, mereka dapat menghasilkan SLSA provenance attestations yang valid. Ini secara efektif memberikan stempel resmi yang dapat diverifikasi pada paket yang telah dimodifikasi, menipu para pengembang agar memercayai rilis yang sebenarnya telah ditanamkan pintu belakang (backdoor) .

Muatan Miasma: Pencuri Kredensial yang Dapat Menyebar Sendiri

Kode berbahaya tersebut disematkan dalam skrip preinstall yang ditentukan di dalam file package.json. Artinya, muatan (payload) tersebut berjalan secara otomatis begitu pengembang menjalankan

npm install

Payload tersebut diidentifikasi sebagai varian kustom dari cacing Mini Shai-Hulud yang tersedia untuk publik, terkait dengan aktor ancaman TeamPCP . Setelah berjalan, payload JavaScript ter-offuscation sebesar 4.2 MB ini bertindak sebagai pencuri informasi yang komprehensif, menargetkan banyak materi sensitif :

• Secret CI/CD dan Otomasi: Secret GitHub Actions dan token OIDC baru .
• Kredensial Platform Cloud: Kunci dan token untuk Amazon Web Services (AWS), Google Cloud Platform (GCP), dan Microsoft Azure .
• Token Infrastruktur: Token HashiCorp Vault untuk manajemen secret dan token Kubernetes (kubeconfig) untuk orkestrasi kontainer .
• Kunci Pengembangan dan Akses: Kunci privat SSH, token otentikasi npm, dan isi dari file .env lokal .

Selain pencurian murni, cacing ini memiliki mekanisme penyebaran mandiri. Jika mendeteksi sistem yang terinfeksi memiliki repositori Git yang dikonfigurasi dengan remote origin, ia akan mengkloning repositori tersebut, menyuntikkan kode berbahaya, dan mendorong kembali perubahannya. Ini memungkinkan malware menyebar ke proyek-proyek hilir dan lebih jauh ke dalam pipeline CI/CD yang terhubung . Sebagai tanda tangan akhir, cacing itu mengubah deskripsi repositori yang disusupi menjadi bertuliskan "Miasma: The Spreading Blight" .

Respons Resmi Red Hat

Red Hat dengan cepat mengakui insiden ini dan menerbitkan buletin keamanan RHSB-2026-006 . Perusahaan menekankan bahwa radius ledakan serangan ini terkendali. Paket-paket yang disusupi sangat terbatas pada komponen frontend internal dan perkakas API yang digunakan untuk Red Hat Hybrid Cloud Console.

Secara krusial, Red Hat menyatakan bahwa kode berbahaya tersebut tidak diikutkan dalam perangkat lunak apa pun yang berhadapan dengan pelanggan atau produk produksi Red Hat. Perusahaan segera menghapus semua paket yang terpengaruh dari registri npm setelah terdeteksi .

Langkah-Langkah Remediasi Darurat

Perusahaan keamanan termasuk Aikido, OX Security, Orca Security, dan Wiz telah mengeluarkan panduan mendesak untuk organisasi mana pun yang mungkin menginstal paket dari namespace @redhat-cloud-services pada atau sekitar 1 Juni 2026 .

1. Rotasi Semua Kredensial Segera

Anggap semua kredensial yang ada di lingkungan terinfeksi telah disusupi. Ini mencakup semua kunci API penyedia cloud, token runner CI/CD, kunci SSH, token Vault, dan token penerbitan npm. Rotasi adalah satu-satunya jalan aman ke depan.

2. Audit Repositori Git untuk Tanda Tangan Cacing

Cari repositori GitHub organisasi Anda. Repositori apa pun dengan string deskripsi "Miasma: The Spreading Blight" telah secara aktif disusupi oleh mesin penyebaran mandiri cacing dan berisi kode berbahaya .

3. Tinjau GitHub Actions untuk Anomali

Audit alur kerja GitHub Actions Anda secara manual. Cari pull request yang tidak terduga, modifikasi tidak sah pada file alur kerja yang ada, atau penambahan secret yang tidak dikenal. Suntikan apa pun pada level ini merupakan mekanisme persistensi yang kritis .

4. Periksa Versi Paket yang Terinstal

Cocokkan node_modules dan lockfile Anda dengan daftar lengkap 96 versi paket yang disusupi yang diterbitkan oleh Aikido dan Red Hat. Jika ada yang cocok, anggap mesin itu dan kredensial terkaitnya telah sepenuhnya disusupi dan segera isolasi .

Atribusi: Koneksi TeamPCP

Payload Miasma secara langsung berasal dari cacing Mini Shai-Hulud, alat pemanen kredensial yang baru-baru ini di-open-source oleh aktor ancaman TeamPCP. Para penyerang memperluas cacing dasar dengan pengumpul baru yang secara khusus menargetkan kredensial cloud GCP dan Azure, menunjukkan evolusi ancaman yang aktif dan berkelanjutan . Kampanye ini menggarisbawahi tren berbahaya di mana alat serangan yang di-open-source dengan cepat dipersiapkan dan disempurnakan untuk target rantai pasok bernilai tinggi.