答案已發布2 週前Last edited 5 天前21 個來源

Red Hat Miasma 攻擊：一個帳號失竊，引發 JavaScript 生態系信任危機

2026年6月1日，安全研究人員在 Red Hat 的 32 個官方 npm 套件中發現了名為「Miasma」的憑證竊取蠕蟲，這些套件每週合計約有 11.7 萬次下載，事件的源頭是一名員工的 GitHub 帳號遭竊。這款具有自我複製能力的惡意軟體，是 Mini Shai Hulud 蠕蟲的變種，會在套件安裝時自動執行，從開發者機器中竊取雲端憑證、GitHub Actions 秘密、SSH 金鑰等敏感資料。

使用 Studio Global AI 搜尋並查證事實瀏覽更多熱門頁面

915K0

Abstract representation of a supply chain attack on Red Hat npm packages showing a digital worm spreading through code repositories. — What was the Miasma supply chain attack against Red Hat npm packages on June 1, 2026 — including how the compromise occurred via a Red Hat eThe Miasma worm used a compromised Red Hat employee account to inject malicious code into the official npm supply chain.
AI 提示詞
Create a landscape editorial hero image for this Studio Global article: What was the Miasma supply chain attack against Red Hat npm packages on June 1, 2026 — including how the compromise occurred via a Red Hat e. Article summary: Here is a complete breakdown of the Miasma supply chain attack, confirmed by multiple security vendors and Red Hat's own advisory.. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# Red Hat npm packages compromised in new Mini Shai-Hulud malware wave. Unknown attackers have compromised 30+ Red Hat Cloud Services npm packages with malware that goes after cred" source context "Red Hat npm packages compromised in new Mini Shai-Hulud malware wave - Help Net Security" Reference image 2: visual subject "# Miasma: Supply Chain Attack Targeting RedHat npm Packages. Detect and mitigate malicious npm pa
openai.com

2026 年 6 月 1 日上午，安全研究人員對一場精心策劃的軟體供應鏈攻擊發出了警報，這場攻擊已悄悄滲透進 JavaScript 生態系。這個被命名為「Miasma: The Spreading Blight」（蔓延之瘴）的行動，在 Red Hat 的 @redhat-cloud-services 命名空間下，於 32 個官方 npm 套件中植入了會竊取憑證且能自我複製的蠕蟲。總計發現 96 個惡意套件版本，合計每週下載量約為 117,000 次。這起攻擊事件清楚地提醒我們，當單一開發者帳號失守時，可能引發多嚴重的連鎖信任崩潰。

攻擊者如何取得存取權

這條攻擊鏈的起點，並非新穎的零時差漏洞，而是一次典型的身份驗證遭竊事件。攻擊者成功取得了 Red Hat 一名合法員工的 GitHub 帳號控制權。這個單點故障開啟了通往整個信任發佈管線的大門，因為該帳號擁有對 Red Hat 在 GitHub 上三個關鍵程式碼庫的寫入權限。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查證事實

大家也會問