Atak Red Hat Miasma: Jak skradzione konto GitHub zatruło 32 pakiety npm
1 czerwca 2026 roku w 32 oficjalnych pakietach npm Red Hata odkryto robaka Miasma, który kradł dane logowania. Samoreplikujące się złośliwe oprogramowanie – wariant robaka Mini Shai Hulud – uruchamiało się automatycznie po instalacji, kradnąc klucze SSH, sekrety GitHub Actions, dane logowania do chmur AWS, GCP i Azu...
What was the Miasma supply chain attack against Red Hat npm packages on June 1, 2026 — including how the compromise occurred via a Red Hat eThe Miasma worm used a compromised Red Hat employee account to inject malicious code into the official npm supply chain.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What was the Miasma supply chain attack against Red Hat npm packages on June 1, 2026 — including how the compromise occurred via a Red Hat e. Article summary: Here is a complete breakdown of the Miasma supply chain attack, confirmed by multiple security vendors and Red Hat's own advisory.. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# Red Hat npm packages compromised in new Mini Shai-Hulud malware wave. Unknown attackers have compromised 30+ Red Hat Cloud Services npm packages with malware that goes after cred" source context "Red Hat npm packages compromised in new Mini Shai-Hulud malware wave - Help Net Security" Reference image 2: visual subject "# Miasma: Supply Chain Attack Targeting RedHat npm Packages. Detect and mitigate malicious npm pa
openai.com
Rankiem 1 czerwca 2026 roku badacze bezpieczeństwa podnieśli alarm w sprawie wyrafinowanego ataku na łańcuch dostaw oprogramowania, który po cichu przeniknął do ekosystemu JavaScript. Kampania nazwana "Miasma: Rozprzestrzeniająca się Zaraza" (ang. Miasma: The Spreading Blight) umieściła kradnącego dane uwierzytelniające, samoreplikującego się robaka wewnątrz 32 oficjalnych pakietów npm opublikowanych w przestrzeni nazw @redhat-cloud-services Red Hata. W sumie zidentyfikowano 96 złośliwych wersji pakietów, których łączna tygodniowa liczba pobrań wynosiła około 117 000. Atak jest jaskrawym przypomnieniem o kaskadowych awariach zaufania, które mogą wystąpić, gdy zagrożone zostanie pojedyncze konto dewelopera.
Jak atakujący uzyskał dostęp
Łańcuch ataku rozpoczął się nie od wykorzystania nowej luki zero-day, ale od klasycznego przejęcia tożsamości. Atakujący z powodzeniem przejął kontrolę nad legalnym kontem GitHub pracownika Red Hata. Ten pojedynczy punkt awarii otworzył drzwi do całego zaufanego potoku wydawniczego, ponieważ konto posiadało uprawnienia do zapisu w trzech krytycznych repozytoriach w organizacji Red Hata na GitHubie.
Obejście zaufanego publikowania OIDC
Najbardziej podstępnym posunięciem atakującego było wykorzystanie legalnego dostępu do ominięcia jednego z najsilniejszych współczesnych zabezpieczeń łańcucha dostaw. Użył on przejętego konta, aby wstrzyknąć złośliwe przepływy pracy (workflow) GitHub Actions bezpośrednio do repozytoriów źródłowych.
Kluczową cechą tych przepływów pracy było wykorzystanie OpenID Connect (OIDC) do zaufanego publikowania. Normalnie OIDC umożliwia GitHub Actions uwierzytelnianie w npm w celu publikowania pakietów bez długoterminowych tokenów. Ponieważ złośliwe przepływy pracy były uruchamiane na oficjalnej infrastrukturze Red Hata przy użyciu przejętego konta, były w stanie wygenerować ważne poświadczenia pochodzenia SLSA (ang. SLSA provenance attestations). To skutecznie nadało sfałszowanym pakietom weryfikowalną, formalną pieczęć legalności, oszukując deweloperów, by zaufali backdoorowanym wydaniom.
Ładunek Miasma: Samorozprzestrzeniający się złodziej danych uwierzytelniających
Złośliwy kod został osadzony w skrypcie preinstall zawartym w pliku package.json. Oznaczało to, że ładunek uruchamiał się automatycznie w momencie, gdy deweloper użył polecenia
npm install
– nie wymagał jawnego importu ani uruchomienia aplikacji.
Ładunek został zidentyfikowany jako niestandardowa odmiana publicznie dostępnego robaka Mini Shai-Hulud, powiązanego z aktorem zagrożeń TeamPCP. Po uruchomieniu, około 4,2 MB zaciemnionego kodu JavaScript działało jako kompleksowy program do kradzieży informacji (infostealer), atakując szeroką gamę wrażliwych danych:
Sekrety CI/CD i automatyzacji: sekrety GitHub Actions oraz świeże tokeny OIDC.
Dane logowania do platform chmurowych: klucze i tokeny dla Amazon Web Services (AWS), Google Cloud Platform (GCP) i Microsoft Azure.
Tokeny infrastrukturalne: tokeny HashiCorp Vault do zarządzania sekretami oraz tokeny Kubernetes (kubeconfig) do orkiestracji kontenerów.
Klucze dostępowe i deweloperskie: prywatne klucze SSH, tokeny uwierzytelniające npm oraz zawartość lokalnych plików .env.
Poza czystą kradzieżą, robak posiadał mechanizm samopropagacji. Jeśli wykrył, że na skompromitowanym systemie znajduje się repozytorium Git skonfigurowane ze zdalnym origin, klonował repozytorium, wstrzykiwał do niego złośliwy kod i wypychał zmiany z powrotem. Pozwalało to złośliwemu oprogramowaniu na rozprzestrzenianie się do zależnych projektów i dalej, do połączonych potoków CI/CD. Jako swój końcowy podpis, robak zmieniał opis skompromitowanych repozytoriów na "Miasma: Rozprzestrzeniająca się Zaraza" (oryg. "Miasma: The Spreading Blight").
Oficjalna odpowiedź Red Hata
Red Hat szybko przyznał się do incydentu i opublikował biuletyn bezpieczeństwa RHSB-2026-006. Firma podkreśliła, że zasięg ataku był ograniczony. Skompromitowane pakiety były ściśle ograniczone do wewnętrznych komponentów frontendowych i narzędzi klienckich API używanych w Red Hat Hybrid Cloud Console.
Co kluczowe, Red Hat oświadczył, że kod zawierający backdoor nie został dostarczony w żadnym oprogramowaniu przeznaczonym dla klientów ani w produkcyjnych produktach Red Hata. Firma natychmiast usunęła wszystkie zainfekowane pakiety z rejestru npm po ich wykryciu.
Awaryjne procedury naprawcze
Firmy ochroniarskie, w tym Aikido, OX Security, Orca Security i Wiz, wydały pilne wytyczne dla wszystkich organizacji, które mogły zainstalować pakiety z przestrzeni nazw @redhat-cloud-services w okolicach 1 czerwca 2026 roku.
1. Natychmiastowa rotacja wszystkich danych uwierzytelniających
Należy założyć, że każde poświadczenie, które istniało w dotkniętym środowisku, jest skompromitowane. Obejmuje to wszystkie klucze API dostawców chmury, tokeny CI/CD, klucze SSH, tokeny Vault i tokeny publikowania npm. Rotacja jest jedyną bezpieczną drogą naprzód.
2. Audyt repozytoriów Git pod kątem podpisu robaka
Przeszukaj repozytoria swojej organizacji na GitHubie. Każde repozytorium z opisem "Miasma: Rozprzestrzeniająca się Zaraza" (ang. "Miasma: The Spreading Blight") zostało aktywnie skompromitowane przez mechanizm samopropagacji robaka i zawiera złośliwy kod.
3. Przegląd GitHub Actions pod kątem anomalii
Ręcznie przeprowadź audyt przepływów pracy GitHub Actions. Szukaj nieoczekiwanych pull requestów, nieautoryzowanych modyfikacji istniejących plików przepływów pracy lub dodania nieznanych sekretów. Każda iniekcja na tym poziomie stanowi krytyczny mechanizm utrzymywania dostępu (ang. persistence).
4. Sprawdzenie zainstalowanych wersji pakietów
Porównaj swoją zawartość node_modules i plików blokady (lockfiles) z pełną listą 96 skompromitowanych wersji pakietów opublikowaną przez Aikido i Red Hata. Jeśli znajdziesz dopasowanie, uznaj tę maszynę i powiązane z nią poświadczenia za w pełni skompromitowane i natychmiast ją odizoluj.
Atrybucja: Połączenie z TeamPCP
Ładunek Miasma wywodzi się bezpośrednio z robaka Mini Shai-Hulud, narzędzia do zbierania danych uwierzytelniających, które zostało niedawno udostępnione jako open-source przez aktora zagrożeń TeamPCP. Atakujący rozszerzyli podstawowego robaka o nowe mechanizmy zbierające, celujące konkretnie w dane logowania do chmur GCP i Azure, co pokazuje aktywną i ciągłą ewolucję zagrożenia. Kampania ta uwypukla niebezpieczny trend, w którym narzędzia ataku udostępniane jako open-source są szybko wykorzystywane i udoskonalane do atakowania wartościowych celów w łańcuchu dostaw.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Atak Red Hat Miasma: Jak skradzione konto GitHub zatruło 32 pakiety npm"?
1 czerwca 2026 roku w 32 oficjalnych pakietach npm Red Hata odkryto robaka Miasma, który kradł dane logowania.
What are the key points to validate first?
1 czerwca 2026 roku w 32 oficjalnych pakietach npm Red Hata odkryto robaka Miasma, który kradł dane logowania. Samoreplikujące się złośliwe oprogramowanie – wariant robaka Mini Shai Hulud – uruchamiało się automatycznie po instalacji, kradnąc klucze SSH, sekrety GitHub Actions, dane logowania do chmur AWS, GCP i Azure oraz inn...
What should I do next in practice?
Red Hat potwierdził atak w biuletynie bezpieczeństwa RHSB 2026 006, zaznaczając, że złośliwy kod dotyczył wyłącznie wewnętrznych narzędzi frontendowych i nie wpłynął na środowiska klientów ani produkcyjne systemy firmy.
Comments
0 comments