Miasma Saldırısı: Korsanlar Red Hat'in Resmi npm Paketlerine Sızan Solucanı Nasıl Yerleştirdi?

OIDC ile Güvenilir Yayınlama Mekanizmasını Atlatmak

Saldırganın en sinsi hamlesi, bu yasal erişimi, tedarik zincirinin en güçlü modern güvenlik garantilerinden birini atlatmak için kullanmasıydı. Ele geçirilen hesabı kullanarak, kaynak kod depolarına doğrudan zararlı GitHub Actions iş akışları (workflow) enjekte etti .

Bu iş akışlarının kritik bir özelliği, güvenilir yayınlama (trusted publishing) için OpenID Connect (OIDC) kullanmalarıydı. Normalde OIDC, GitHub Actions'ın npm'e uzun ömürlü jetonlar olmadan kimlik doğrulaması yapmasını ve paket yayınlamasını sağlar. Saldırganın iş akışları, ele geçirilen hesap sayesinde Red Hat'in resmi altyapısında çalıştığı için, geçerli SLSA kaynak kanıtları (provenance attestations) oluşturmayı başardı. Bu, kurcalanmış paketlere doğrulanabilir, resmi bir meşruiyet damgası vurarak geliştiricileri, arka kapı yerleştirilmiş sürümlere güvenmeleri için kandırdı .

Miasma'nın Yükü: Kendi Kendine Yayılan Bir Kimlik Bilgisi Hırsızı

Zararlı kod, package.json dosyasında belirtilen bir preinstall betiğinin içine gömülmüştü. Bu, bir geliştirici

npm install

Yük, TeamPCP adlı tehdit aktörüyle ilişkilendirilen ve halka açık Mini Shai-Hulud solucanının özel bir varyantı olarak tanımlandı . Çalıştırıldığında, yaklaşık 4.2 MB boyutundaki karmaşıklaştırılmış (obfuscated) JavaScript kodu, kapsamlı bir bilgi hırsızı gibi davranarak çok çeşitli hassas verileri hedef aldı :

• CI/CD ve Otomasyon Sırları: GitHub Actions gizli anahtarları ve taze OIDC jetonları .
• Bulut Platformu Kimlik Bilgileri: Amazon Web Services (AWS), Google Cloud Platform (GCP) ve Microsoft Azure için anahtarlar ve jetonlar .
• Altyapı Erişim Jetonları: Gizli anahtar yönetimi için HashiCorp Vault jetonları ve konteyner orkestrasyonu için Kubernetes (kubeconfig) jetonları .
• Geliştirme ve Erişim Anahtarları: SSH özel anahtarları, npm kimlik doğrulama jetonları ve yerel .env dosyalarının içerikleri .

Bilgi hırsızlığının ötesinde, solucan kendi kendine yayılma mekanizmasına da sahipti. Ele geçirilen sistemin, origin uzak bağlantısına sahip bir Git deposu olduğunu tespit ederse, depoyu klonluyor, içine kendi zararlı kodunu enjekte ediyor ve değişiklikleri geri gönderiyordu. Bu, kötü amaçlı yazılımın alt projelere ve bağlantılı CI/CD iş hatlarına (pipeline) yayılmasını sağladı . Son bir imza olarak solucan, ele geçirilen depoların açıklamasını "Miasma: Yayılan Felaket" (Miasma: The Spreading Blight) olarak değiştirdi .

Red Hat'in Resmi Yanıtı

Red Hat olayı hızla kabul etti ve RHSB-2026-006 numaralı güvenlik bültenini yayınladı . Şirket, saldırının etki alanının sınırlı kaldığını vurguladı. Ele geçirilen paketlerin, yalnızca Red Hat Hybrid Cloud Console için kullanılan dahili ön yüz bileşenleri ve API istemci araçlarıyla sınırlı olduğu belirtildi.

Kritik olarak Red Hat, arka kapı yerleştirilmiş kodun hiçbir müşteriye dönük yazılımda veya üretim ortamındaki Red Hat ürününde yer almadığını açıkladı. Şirket, tespitin ardından etkilenen tüm paketleri npm kayıt defterinden derhal kaldırdı .

Acil Müdahale Adımları

Aikido, OX Security, Orca Security ve Wiz gibi güvenlik firmaları, 1 Haziran 2026 tarihinde veya civarında @redhat-cloud-services ad alanından paket yüklemiş olabilecek tüm kurumlar için acil rehberlik yayınladı .

1. Tüm Kimlik Bilgilerini Derhal Sıfırlayın

Etkilenen bir ortamda bulunan herhangi bir kimlik bilgisinin ele geçirildiğini varsayın. Buna tüm bulut sağlayıcı API anahtarları, CI/CD çalıştırıcı jetonları, SSH anahtarları, Vault jetonları ve npm yayınlama jetonları dahildir. Tek güvenli yol, bunları sıfırlamaktır.

2. Git Depolarını Solucanın İmzasına Karşı Denetleyin

Kurumunuzun GitHub depolarını arayın. Açıklama kısmında "Miasma: Yayılan Felaket" (Miasma: The Spreading Blight) ifadesi bulunan herhangi bir depo, solucanın kendi kendine yayılma motoru tarafından aktif olarak ele geçirilmiştir ve zararlı kod içermektedir .

3. GitHub Actions'ı Anormalliklere Karşı İnceleyin

GitHub Actions iş akışlarınızı manuel olarak denetleyin. Beklenmedik çekme isteklerini (pull request), mevcut iş akışı dosyalarında yetkisiz değişiklikleri veya bilinmeyen gizli anahtarların eklenmesini arayın. Bu seviyedeki herhangi bir enjeksiyon, kritik bir kalıcılık mekanizmasını temsil eder .

4. Yüklenen Paket Sürümlerini Kontrol Edin

node_modules klasörünüzü ve kilit dosyalarınızı, Aikido ve Red Hat tarafından yayınlanan 96 ele geçirilmiş paket sürümünün tam listesiyle çapraz kontrol edin. Bir eşleşme bulunursa, o makineyi ve ilişkili tüm kimlik bilgilerini tamamen ele geçirilmiş olarak kabul edin ve derhal izole edin .

Atıf: TeamPCP ile Bağlantı

Miasma yükü, yakın zamanda TeamPCP tehdit aktörü tarafından açık kaynak haline getirilen Mini Shai-Hulud adlı bir kimlik bilgisi toplama aracından türetilmiştir. Saldırganlar, temel solucanı özellikle GCP ve Azure bulut kimlik bilgilerini hedef alan yeni toplayıcılarla genişleterek tehdidin aktif ve devam eden bir evrimini göstermiştir . Bu kampanya, açık kaynaklı saldırı araçlarının hızla silah haline getirilip yüksek değerli tedarik zinciri hedefleri için rafine edildiği tehlikeli bir eğilimin altını çizmektedir.