科技界近日披露,Red Hat 在 npm 上的 `@redhat-cloud-services` 命名空间内,有超过三十个软件包遭遇供应链攻击,被恶意注入了 Shai-Hulud 恶意软件的新变种“Miasma”。
安全公司 Aikido 的监测数据显示,这些受感染的软件包每周的总下载量达到约 11.7 万次。攻击者的目标明确,即窃取开发人员的凭证、各类云密钥、SSH 密钥以及持续集成/持续部署(CI/CD)令牌等关键信息。
Aikido 联合 OX Security 共同揭露了 npm 包多个版本中存在的后门。Red Hat 方面已向外界证实,公司正在对此事件展开深入调查,并已将所有受影响的软件包从 npm 注册表中移除。
Red Hat 进一步澄清,目前的调查结果表明,此次安全事件主要局限于内部开发工具,恶意代码并未扩散至面向客户发布的 console.redhat.com 平台。
据 Aikido 分析,攻击者疑似首先攻破了一名 Red Hat 内部员工的 GitHub 账户,随后直接向多个代码仓库推送了恶意提交。这些恶意提交包含了新的 GitHub Actions 工作流和脚本,并利用 npm 的发布机制,成功散布了带有后门的版本。
技术细节显示,一旦恶意工作流启动,它会安装 Bun 并执行名为 `_index.js` 的脚本。该脚本利用 `id-token:write` 权限从 GitHub 获取短期 OIDC 令牌,进而使用此令牌连接 npm 的可信发布端点。
Aikido 指出,恶意载荷大小约为 4.2MB,其功能涵盖窃取 GitHub Actions secrets、AWS、Google Cloud、Azure 云凭据、HashiCorp Vault 令牌、Kubernetes 服务账户令牌、npm 和 PyPI 发布令牌、SSH 密钥、Docker 凭据、GPG 密钥以及 `.env` 文件等。因此,所有安装过受影响版本的组织应立即轮换相关的凭据、密钥和令牌。
此次攻击是近期 Shai-Hulud 相关供应链攻击浪潮的延续。此前,Bitwarden、SAP、Mistral、TanStack、OpenAI 和 GitHub 等知名项目也曾遭受类似攻击。研究人员强调,Miasma 相比于 Mini Shai-Hulud,增加了代码混淆、多阶段载荷投递以及更强大的数据窃取能力。截至目前,已有 309 个 GitHub 仓库受到 Miasma 恶意活动的影响。