Serangan Miasma Red Hat: Bagaimana Akaun GitHub yang Dicuri Meracun 32 Pakej npm

Memintas Penerbitan Dipercayai OIDC

Langkah paling licik penyerang adalah memanfaatkan akses sah ini untuk memintas salah satu jaminan keselamatan moden terkuat rantaian bekalan. Mereka menggunakan akaun yang terjejas untuk menyuntik aliran kerja GitHub Actions yang berbahaya terus ke dalam repositori sumber .

Ciri utama aliran kerja ini adalah penggunaan OpenID Connect (OIDC) untuk penerbitan dipercayai. Biasanya, OIDC membolehkan GitHub Actions mengesahkan kepada npm untuk menerbitkan pakej tanpa token jangka panjang. Oleh kerana aliran kerja berbahaya itu berjalan pada infrastruktur rasmi Red Hat menggunakan akaun yang terjejas, mereka dapat menghasilkan pengesahan asal-usul SLSA yang sah. Ini secara berkesan meletakkan cop kesahihan yang boleh disahkan dan formal pada pakej yang diusik, memperdaya pembangun untuk mempercayai keluaran yang telah dipintas .

Muatan Miasma: Pencuri Kelayakan yang Membiak Sendiri

Kod berbahaya itu dibenamkan dalam skrip preinstall yang dinyatakan di dalam fail package.json. Ini bermakna muatan tersebut dilaksanakan secara automatik sebaik sahaja pembangun menjalankan

npm install

Muatan itu dikenal pasti sebagai varian tersuai bagi cacing Mini Shai-Hulud yang tersedia secara umum, dikaitkan dengan pelaku ancaman TeamPCP . Sebaik sahaja berjalan, muatan JavaScript yang dikelirukan sepanjang kira-kira 4.2 MB itu bertindak sebagai pencuri maklumat komprehensif, menyasarkan pelbagai bahan sensitif :

• Rahsia CI/CD dan Automasi: Rahsia GitHub Actions dan token OIDC yang baharu .
• Kelayakan Platform Awan: Kunci dan token untuk Amazon Web Services (AWS), Google Cloud Platform (GCP), dan Microsoft Azure .
• Token Infrastruktur: Token HashiCorp Vault untuk pengurusan rahsia dan token Kubernetes (kubeconfig) untuk orkestrasi kontena .
• Kunci Pembangunan dan Akses: Kunci peribadi SSH, token pengesahan npm, dan kandungan fail .env tempatan .

Di luar pencurian tulen, cacing itu mempunyai mekanisme pembiakan sendiri. Jika ia mengesan sistem yang terjejas mempunyai repositori Git yang dikonfigurasikan dengan alat kawalan jauh origin, ia akan mengklon repositori tersebut, menyuntik kod berbahayanya, dan menolak semula perubahan itu. Ini membolehkan malware tersebut merebak ke projek hiliran dan seterusnya ke dalam saluran paip CI/CD yang bersambung . Sebagai tandatangan akhir, cacing itu mengubah suai keterangan repositori yang terjejas supaya tertera "Miasma: The Spreading Blight" .

Tindak Balas Rasmi Red Hat

Red Hat dengan pantas mengakui insiden itu dan menerbitkan buletin keselamatan RHSB-2026-006 . Syarikat itu menekankan bahawa radius letupan serangan itu terbatas. Pakej yang terjejas adalah terhad kepada komponen bahagian hadapan dalaman dan peralatan klien API yang digunakan untuk Konsol Awan Hibrid Red Hat.

Yang penting, Red Hat menyatakan bahawa kod pintasan belakang itu tidak dihantar dalam mana-mana perisian yang dihadapi pelanggan atau produk Red Hat pengeluaran. Syarikat itu segera mengalih keluar semua pakej yang terjejas daripada registri npm selepas pengesanan .

Langkah Pemulihan Kecemasan

Firma keselamatan termasuk Aikido, OX Security, Orca Security, dan Wiz telah mengeluarkan panduan segera untuk mana-mana organisasi yang mungkin telah memasang pakej dari ruang nama @redhat-cloud-services pada atau sekitar 1 Jun 2026 .

1. Putarkan Semua Kelayakan Dengan Serta Merta

Anggapkan mana-mana kelayakan yang wujud dalam persekitaran yang terjejas adalah terkompromi. Ini termasuk semua kunci API pembekal awan, token pelaksana CI/CD, kunci SSH, token Vault, dan token penerbitan npm. Pemutaran adalah satu-satunya laluan selamat ke hadapan.

2. Audit Repositori Git untuk Tandatangan Cacing

Cari repositori GitHub organisasi anda. Mana-mana repositori dengan rentetan keterangan "Miasma: The Spreading Blight" telah dikompromi secara aktif oleh enjin pembiakan sendiri cacing itu dan mengandungi kod berbahaya .

3. Semak GitHub Actions untuk Anomali

Audit secara manual aliran kerja GitHub Actions anda. Cari permintaan tarik yang mencurigakan, pengubahsuaian tanpa kebenaran pada fail aliran kerja sedia ada, atau penambahan rahsia yang tidak diketahui. Sebarang suntikan pada tahap ini mewakili mekanisme ketekalan yang kritikal .

4. Periksa Versi Pakej yang Dipasang

Rujuk silang node_modules dan fail kunci anda dengan senarai lengkap 96 versi pakej terjejas yang diterbitkan oleh Aikido dan Red Hat. Jika padanan ditemui, anggap mesin itu dan kelayakan berkaitannya sebagai terkompromi sepenuhnya dan asingkan ia dengan serta merta .

Atribusi: Hubungan TeamPCP

Muatan Miasma secara langsung berasal dari cacing Mini Shai-Hulud, alat penuaian kelayakan yang baru-baru ini disumber terbuka oleh pelaku ancaman TeamPCP. Para penyerang memperluaskan cacing asas dengan pengumpul baharu yang secara khusus menyasarkan kelayakan awan GCP dan Azure, menunjukkan evolusi ancaman yang aktif dan berterusan . Kempen ini menekankan trend berbahaya di mana alat serangan sumber terbuka dengan cepat dijadikan senjata dan diperhalusi untuk sasaran rantaian bekalan bernilai tinggi.