文章总结： 2026年6月1日，红帽官方@redhat-cloud-services命名空间下的32个npm包被植入名为miasma的凭据窃取蠕虫，波及96个版本，周下载量约11.7万次。攻击者盗用员工账户，通过GitHubActionsOIDC机制利用可信发布通道推送后门版本，安装即触发preinstall脚本扫描并外传GitHub、AWS、GCP、Azure、Vault、Kubernetes等全套云凭据与本地密钥。建议立即轮换凭据、排查CI/CD环境、锁定依赖版本并启用恶意包检测。 综合评分： 87 文章分类： 供应链安全,漏洞预警,恶意软件,安全运营,web安全

红帽（RedHat）NPM 包被攻破了，每周下载量高达11.7万次，影响非常大！

原创

mmc mmc

AGI安全

2026年6月2日 16:47 北京

在小说阅读器读本章

去阅读

SUPPLY CHAIN ATTACK · 2026 · NPM WORM

红帽（RedHat）NPM 包被攻破了，每周下载量高达11.7万次，影响非常大！

Wiz 与 Aikido 同步披露：官方 @redhat-cloud-services 命名空间下的 npm 包被植入名为「Miasma（瘴气）」的凭据窃取蠕虫。它通过被盗的红帽员工账户自动发布后门版本，启动即扫荡你的 GitHub、AWS、GCP、Azure、Vault、K8s 全套密钥。

| | | | | | — | — | — | — | | 32 受影响包 | 96 中招版本 | 11.6万 周下载量 | 蠕虫 可自传播 |

事件概览 · 为何危险 · 攻击链拆解 · 它偷走什么 · Miasma 溯源 · 危害分析 · 应对建议 + IOC

01 事件概览

RED HAT · NPM · 2026-06-01

2026 年 6 月 1 日，安全公司 Wiz 与 Aikido 几乎同时发现：红帽官方维护的 @redhat-cloud-services npm 命名空间遭到供应链投毒。据 Aikido 统计，共有 32 个软件包、96 个版本被植入恶意代码，这些包的累计周下载量高达 约 11.7 万次。

这些并不是无人问津的边缘包，而是红帽云服务（Red Hat Cloud / Insights）日常构建大量依赖的官方组件，例如 rbac-client、insights-client、frontend-components、host-inventory-client 等，还波及多个 MCP 相关包。

警惕！

攻击者盗用一名红帽员工的 GitHub 账户，借官方可信发布通道推送带后门的包。任何人只要 npm install 中招版本，本地与 CI 里的 全套云凭据就会被一次性扫走。

02 风险巨大，蠕虫传播

它不是一次性的仿冒包，而是一条会自我复制的蠕虫，并且把官方的安全机制变成了帮凶。

① 它是蠕虫，会自动扩散

Miasma 会用窃取到的账户权限，自动把受害者有发布权的其他包也打上后门并重新发布。一个账户失陷，就可能像滚雪球一样污染整条依赖网络。

② 绕过了 npm「可信发布」

攻击者没有去偷长期 npm token，而是滥用 GitHub Actions 的 OIDC 机制，换取短期令牌后走 npm 官方的「trusted publishing」通道发布——发出来的包甚至带着合法的 SLSA 来源证明，看起来比真包还「正规」。

③ 安装即触发，无需运行

每个中招包都带有 preinstall 脚本（"preinstall": "node index.js"）。只要执行 npm install，恶意代码就在任何告警弹出前自动跑起来——你甚至还没开始用它。

03 攻击链拆解

从账户失陷到污染全网，整条链路环环相扣：

① 员工账户沦陷

一名红帽员工的 GitHub 账户被攻破，攻击者借此向 RedHatInsights 仓库推送orphan commits，绕过了代码审查。

② 植入恶意工作流

提交里夹带了 ci.yaml 工作流与 _index.js 脚本，配置为「向任意分支 push 即触发」，并申请了 id-token: write 权限。

③ 借 OIDC 合法发布

工作流安装 Bun、运行脚本，向 GitHub 申请短期 OIDC 令牌，再用它通过 npm 可信发布端点批量发布后门版本——全程不需要任何长期密钥。

④ 受害者安装即中招

下游开发者 npm install 时，preinstall 自动执行隐藏在 4.2 MB 多层混淆（eval / ROT 解码）背后的载荷，开始扫描并外传凭据。

关键问题

由于发布走的是 GitHub Actions OIDC，研究人员认定被攻破的是 CI/CD 流水线本身，而非某个泄露的 npm token——这意味着补救必须深入到构建环境，而不只是换个密钥了事。

04 影响范围

这是一次地毯式的凭据搜刮，横跨云、CI/CD 与本地开发工具。本次变种尤其新增了对 GCP 与 Azure 云身份的采集，显示攻击者把目标进一步瞄准了「云本身」。

| 类别 | 被窃取的内容 | | — | — | | CI/CD | GITHUB_TOKEN、ACTIONS_RUNTIME_TOKEN 等 Actions 密钥 | | 云凭据 | AWS 密钥/会话令牌、GCP 默认凭据与服务账号密钥、Azure 服务主体与托管身份令牌 | | 编排/密管 | HashiCorp Vault 令牌、Kubernetes 服务账号令牌与 kubeconfig | | 包发布 | npm、PyPI 发布令牌，Docker 镜像仓库凭据 | | 本地密钥 | SSH 私钥、GPG 密钥，以及全盘扫描的 .env 文件 |

05 Miasma 的来历

Miasma 与此前肆虐 npm 的 Mini Shai-Hulud 高度同源——后者由威胁组织 TeamPCP 在 5 月公开了完整源码。仓库描述统一改为 「Miasma: The Spreading Blight」。

由于每次感染都会生成唯一加密的载荷，基于哈希的检测手段几乎失效。

「是谁干的」

因为源码已被公开，研究人员强调这只是手法（TTP）重叠，而非确定归因——不排除是模仿者所为。开源的攻击工具，正在让这类供应链投毒变得「人人可复刻」。

06 危害分析

| 维度 | 风险点 | | — | — | | 传播性 | 蠕虫自我复制，一个账户失陷即可滚雪球扩散 | | 可信度 | 官方命名空间 + 合法 SLSA 来源证明，伪装度极高 | | 触达面 | 32 包 96 版本，周下载约 11.7 万次 | | 破坏力 | 云 / CI / 本地全套凭据一次性扫光 | | 隐蔽性 | 每次感染载荷唯一加密，哈希检测失效 |

07 应对建议

① 立即全面轮换凭据。若自 6 月 1 日起安装过任一受影响版本，请把 CI 密钥、云凭据（AWS/GCP/Azure）、SSH 私钥、npm/PyPI 令牌一律视为已泄露并立刻轮换。

② 排查到构建环境为止。这次失陷的是 CI/CD 流水线，需检查开发者工作站、CI 环境与仓库，审计 GitHub 上是否出现陌生仓库、新建访问令牌或可疑工作流。

③ 锁定并核验依赖。固定依赖版本、生成 SBOM、启用依赖白名单，并对发布产物做来源核验——别再默认「官方包 + 合法签名」就等于安全。

④ 拦在安装之前。在 npm/yarn/pnpm 安装环节接入恶意包情报校验，并对会读取本地密钥的依赖优先在隔离环境中试用。

可用于排查的 IOC

· 仓库描述：Miasma: The Spreading Blight

· 可疑文件：仓库中新增的 ci.yaml 与 _index.js

· 包内含 "preinstall": "node index.js"

· GCP 异常 UA：google-api-nodejs-client/7.0.0 ...

部分受影响包速查（均属 @redhat-cloud-services）

rbac-client · insights-client · host-inventory-client · compliance-client · vulnerabilities-client · remediations-client · notifications-client · sources-client · patch-client · entitlements-client · integrations-client · config-manager-client · quickstarts-client · topological-inventory-client · javascript-clients-shared · frontend-components（及 config / utilities / notifications / remediations / testing / translations 等系列）· rule-components · chrome · types · hcc-pf-mcp · hcc-feo-mcp · hcc-kessel-mcp

完整版本号清单较长，建议以 Wiz / Aikido 官方公告为准逐一核对 package-lock。

关键数字一览

| | | | | | — | — | — | — | | 32 受影响包 | 96 中招版本 | 4.2MB 混淆载荷 | 11.7万 周下载量 |

如果你也热爱AI安全，欢迎评论区留言，转发，分享，点赞，关注，投稿！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AGI安全 mmc mmc《红帽（RedHat）NPM 包被攻破了，每周下载量高达11.7万次，影响非常大！》