Sâu Miasma Tấn Công Red Hat: 32 Gói npm Bị Nhiễm Độc Từ Một Tài Khoản GitHub Bị Chiếm Đoạt

Vượt Mặt Cơ Chế Phát Hành Tin Cậy OIDC

Hành động xảo quyệt nhất của kẻ tấn công là sử dụng quyền truy cập hợp pháp để vô hiệu hóa một trong những đảm bảo an ninh mạnh mẽ nhất của chuỗi cung ứng hiện đại. Chúng đã dùng tài khoản bị chiếm đoạt để tiêm các GitHub Actions workflow độc hại trực tiếp vào các kho lưu trữ mã nguồn .

Một tính năng chính của các workflow này là sử dụng OpenID Connect (OIDC) cho phát hành tin cậy (trusted publishing). Thông thường, OIDC cho phép GitHub Actions xác thực với npm để phát hành các gói mà không cần mã thông báo (token) tồn tại lâu dài. Vì các workflow độc hại chạy trên cơ sở hạ tầng chính thức của Red Hat bằng tài khoản bị chiếm đoạt, chúng có thể tạo ra các chứng thực nguồn gốc SLSA hợp lệ. Điều này tương tự như việc áp dụng một con dấu chính thức, có thể xác minh được, lên các gói đã bị can thiệp, đánh lừa các lập trình viên tin tưởng vào các bản phát hành đã bị cài mã độc . Nói một cách dễ hiểu, giống như tin tặc đã trộm được con dấu của công ty để đóng lên các văn bản giả mạo, các gói mã độc này cũng mang "chữ ký số" hợp lệ của chính Red Hat.

Tải trọng Miasma: Kẻ Trộm Thông Tin Xác Thực Tự Nhân Bản

Mã độc được nhúng trong một đoạn script tên là preinstall được chỉ định trong tệp package.json. Điều này có nghĩa là mã độc tự động thực thi ngay khi một lập trình viên chạy lệnh

npm install

Tải trọng độc hại được xác định là một biến thể tùy chỉnh của sâu Mini Shai-Hulud có sẵn công khai, liên kết với nhóm tin tặc TeamPCP . Sau khi chạy, tệp mã JavaScript bị làm rối (obfuscated) dung lượng khoảng 4,2 MB hoạt động như một công cụ đánh cắp thông tin toàn diện, nhắm vào một loạt các dữ liệu nhạy cảm :

• Bí mật CI/CD và Tự động hóa: Các bí mật GitHub Actions và mã thông báo OIDC mới .
• Thông tin xác thực Nền tảng Đám mây: Khóa và mã thông báo cho Amazon Web Services (AWS), Google Cloud Platform (GCP) và Microsoft Azure .
• Mã thông báo Cơ sở hạ tầng: Mã thông báo HashiCorp Vault dùng cho quản lý bí mật và mã thông báo Kubernetes (kubeconfig) dùng cho điều phối container .
• Khóa Phát triển và Truy cập: Khóa riêng tư SSH, mã thông báo xác thực npm, và nội dung của các tệp .env cục bộ .

Ngoài việc đánh cắp thuần túy, con sâu này còn sở hữu cơ chế tự nhân bản. Nếu phát hiện hệ thống bị nhiễm có một kho Git được cấu hình với remote origin, nó sẽ sao chép kho lưu trữ, tiêm mã độc của mình vào và đẩy các thay đổi trở lại. Điều này cho phép mã độc lan sang các dự án hạ nguồn và xa hơn vào các pipeline CI/CD được kết nối . Như một chữ ký cuối cùng, con sâu đã sửa đổi mô tả của các kho lưu trữ bị xâm phạm thành "Miasma: The Spreading Blight" (Chướng khí lan tỏa) .

Phản hồi Chính thức từ Red Hat

Red Hat nhanh chóng thừa nhận sự việc và công bố bản tin an ninh RHSB-2026-006 . Công ty nhấn mạnh rằng phạm vi ảnh hưởng của cuộc tấn công đã được kiểm soát. Các gói bị xâm phạm được giới hạn nghiêm ngặt ở các thành phần giao diện người dùng (frontend) nội bộ và công cụ API client được sử dụng cho Bảng điều khiển Đám mây Lai (Hybrid Cloud Console) của Red Hat.

Một cách quan trọng, Red Hat tuyên bố rằng mã độc không được phân phối trong bất kỳ phần mềm nào dành cho khách hàng hoặc các sản phẩm Red Hat thương mại. Công ty đã ngay lập tức gỡ bỏ tất cả các gói bị ảnh hưởng khỏi kho npm sau khi phát hiện .

Các Bước Khắc Phục Khẩn Cấp

Các công ty bảo mật bao gồm Aikido, OX Security, Orca Security và Wiz đã đưa ra hướng dẫn khẩn cấp cho bất kỳ tổ chức nào có thể đã cài đặt các gói từ không gian tên @redhat-cloud-services vào hoặc khoảng ngày 1 tháng 6 năm 2026 .

1. Xoay Vòng Tất Cả Thông Tin Xác Thực Ngay Lập Tức

Hãy coi như mọi thông tin xác thực tồn tại trong một môi trường bị ảnh hưởng đều đã bị lộ. Điều này bao gồm tất cả các khóa API của nhà cung cấp đám mây, mã thông báo CI/CD runner, khóa SSH, mã thông báo Vault và mã thông báo phát hành npm. Xoay vòng chúng là con đường an toàn duy nhất.

2. Kiểm Tra Các Kho Git để Tìm Chữ Ký của Sâu

Tìm kiếm trong các kho lưu trữ GitHub của tổ chức bạn. Bất kỳ kho lưu trữ nào có chuỗi mô tả "Miasma: The Spreading Blight" đều đã bị xâm phạm một cách chủ động bởi cơ chế tự nhân bản của sâu và chứa mã độc .

3. Rà soát GitHub Actions để Tìm Điểm Bất Thường

Kiểm tra thủ công các workflow GitHub Actions của bạn. Tìm kiếm các yêu cầu pull (Pull Request) bất ngờ, các sửa đổi trái phép vào các tệp workflow hiện có hoặc việc thêm vào các bí mật (secrets) lạ. Bất kỳ sự tiêm nhiễm nào ở cấp độ này đều tương đương với một cơ chế duy trì sự hiện diện dai dẳng cực kỳ nguy hiểm .

4. Kiểm Tra Các Phiên Bản Gói Đã Cài Đặt

Đối chiếu thư mục node_modules và các tệp khóa (lockfiles) của bạn với danh sách đầy đủ 96 phiên bản gói bị xâm phạm được Aikido và Red Hat công bố. Nếu tìm thấy sự trùng khớp, hãy coi máy đó và tất cả thông tin xác thực liên quan là đã bị kiểm soát hoàn toàn và cách ly nó ngay lập tức .

Nguồn Gốc: Mối Liên Hệ TeamPCP

Tải trọng Miasma có nguồn gốc trực tiếp từ sâu Mini Shai-Hulud, một công cụ thu thập thông tin xác thực gần đây đã được nhóm tin tặc TeamPCP công khai mã nguồn. Những kẻ tấn công đã mở rộng con sâu cơ sở với các bộ thu thập mới nhắm mục tiêu cụ thể vào thông tin xác thực đám mây của GCP và Azure, cho thấy một sự tiến hóa chủ động và liên tục của mối đe dọa . Chiến dịch này nhấn mạnh một xu hướng nguy hiểm, nơi các công cụ tấn công mã nguồn mở nhanh chóng bị vũ khí hóa và tinh chỉnh để nhắm vào các mục tiêu chuỗi cung ứng có giá trị cao.