RedHatnpm包遭供应链投毒!超30个组件暗藏凭证窃取后门,开发者速查

admin
admin
admin
0
文章
0
评论
2026-06-03 04:06:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: RedHat旗下@redhat-cloud-services命名空间的32个npm包遭供应链攻击,攻击者通过入侵员工GitHub账户植入Miasma恶意软件,该软件可窃取云凭证、SSH密钥等敏感信息。每周下载量达11.7万次,RedHat已下架受影响包并确认客户环境未受损。建议开发者立即检查依赖、轮换凭证并审计CI/CD流水线。 综合评分: 85 文章分类: 供应链安全,恶意软件,漏洞预警,安全运营,解决方案

cover_image

Red Hat npm包遭供应链投毒!超30个组件暗藏凭证窃取后门,开发者速查

看雪学苑 看雪学苑

看雪学苑

2026年6月2日 18:00 上海

在小说阅读器读本章

去阅读

近期,一起针对 Red Hat(红帽)开发工具的供应链攻击被曝光。超过30个 npm 包被植入新型恶意软件,专门窃取开发者的敏感凭证——包括云服务密钥、SSH 私钥、CI/CD 令牌等。受影响的包每周下载量高达11.7万次,开发者务必警惕!

事件速览:知名厂商也“中招”

安全公司 Aikido 与 OX Security 发现,Red Hat 旗下的 @redhat-cloud-services npm 命名空间中有32 个包、96 个版本被暗中植入后门。这些包传播的恶意软件被命名为“Miasma”,是臭名昭著的凭证窃取木马 Shai-Hulud 的又一变种。

根据 Aikido 的遥测数据,这些“带毒”包每周大约被下载117,000 次,潜在影响面不容小觑。

攻击手法:GitHub 账户沦陷,自动化发版沦为帮凶

攻击者首先攻破了一名 Red Hat 员工的 GitHub 账号,随后直接向多个代码仓库推送了恶意 commit。具体操作如下:

  1. 植入恶意 workflow:在仓库中添加了一个 GitHub Actions 工作流,以及一个恶意脚本 _index.js。

  2. 滥用 OIDC 信任发布:该工作流利用 GitHub 的 OIDC(OpenID Connect)令牌,直接向 npm 官方发起“受信任发布”请求,自动将后门版本推送到 npm 仓库。

  3. 预安装脚本触发:受害开发者执行 npm install 时,preinstall 脚本会自动运行隐藏的 index.js(体积约4.2 MB),恶意代码随即启动。

整个过程无需攻击者持有 npm 密钥,仅凭被篡改的 GitHub Actions 权限即可完成投毒。

恶意代码能偷走什么?几乎“一切凭证”

被植入的 index.js 经过了高度混淆,其功能是全方位的凭证收割机。

根据分析,它会尝试窃取:

  • GitHub Actions的各类 Secrets
  • AWS、Google Cloud、Azure服务主体凭证
  • HashiCorp Vault令牌
  • Kubernetes服务账户令牌
  • npm与PyPI发布令牌
  • SSH 私钥、Docker 配置、GPG 密钥
  • 项目中的.env环境变量文件

一旦开发者的机器上存在上述任何信息,都可能被恶意脚本打包外传。

🛡️ Red Hat 官方回应:已下架,客户环境未受影响

Red Hat 在给媒体的一份声明中确认:

  • 已立即从 npm 注册表中移除所有受影响包。

  • 这些包仅限于内部开发工具使用,从未通过 console.redhat.com 系统向客户发布。

  • 截至目前未发现客户、合作伙伴环境或 Red Hat 生产系统受到损害。

不过,Red Hat 并未透露账户是如何被攻破的,调查仍在进行中。

幕后黑手:Miasma 是 Shai-Hulud 的进化版

过去几个月,Shai-Hulud 恶意软件已多次用于供应链攻击,受害者包括Bitwarden、SAP、Mistral、TanStack、OpenAI、GitHub等知名项目。

今年 5 月,一个名为TeamPCP的威胁组织甚至公开了其“Mini Shai-Hulud”的源代码,导致大量黑客利用该框架进行二次开发。本次发现的Miasma在代码注释中包含了Miasma: The Spreading Blight字符串:

  • 保留了原版的核心窃密功能

  • 新增多层混淆、多阶段 Payload 下发机制

  • 强化了数据窃取和凭证收集能力

截至发稿,已有309个GitHub 仓库被Miasma 攻击活动波及。

✅ 开发者自查与紧急行动建议

如果你或你的团队曾安装过 @redhat-cloud-services 命名空间下的以下版本(包括但不限于各类 client 库),请立即执行:

  1. 检查项目依赖:确认是否引用了受影响包(版本列表可查阅 npm 官方公告或安全厂商报告)。

  2. 全量轮换凭证:假设所有本地密钥、令牌、.env 文件均已泄露,立刻更换。

  3. 审计 CI/CD 流水线:查看是否有异常 job 执行或未知的出网流量。

  4. 升级到安全版本:等待 Red Hat 重新发布干净包,或临时替换为其他可信源。

资讯来源:BleepingComputer、Aikido Security、OX Security 及 Red Hat 官方声明

球分享

球点赞

球在看

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《Red Hat npm包遭供应链投毒!超30个组件暗藏凭证窃取后门,开发者速查》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0