Red Hat NPM套件遭Miasma供應鏈攻擊外洩GitHub與雲端憑證

資安公司 OX Security 與 Aikido 於 2026 年 6 月 2 日揭露,Red Hat 在 NPM 上的雲端服務套件(@redhat-cloud-services)遭植入 Miasma 惡意程式(Shai-Hulud 惡意軟體家族新變種),透過 GitHub Actions OIDC 機制在 CI/CD 流程中完成部署,可竊取 GitHub 權杖、NPM 憑證及雲端服務登入資訊。

攻擊規模

項目數據
受影響套件數31–32 個
受影響版本數96 個
每週下載量~11.6 萬次
含竊憑證 GitHub 儲存庫超過 210 個

技術分析

入侵向量

攻擊者疑似取得 Red Hat 員工 GitHub 帳號控制權,繞過程式碼審查機制,將惡意 GitHub Actions 工作流程推送至多個官方儲存庫。發布機制利用 GitHub Actions OIDC(OpenID Connect),表示 CI/CD 整合流程遭入侵,而非 NPM 發布權杖直接洩露。

多階段酬載(第4階段)

  1. 安裝 JavaScript 執行環境 Bun
  2. 傾印記憶體
  3. 外洩 GitHub Actions 資訊
  4. 修改 Claude Code 設定
  5. 監控權杖
  6. 下載第5、第6階段酬載

資料外傳手法

竊取資料送往攻擊者以竊來的 GitHub 權杖建立的公開儲存庫(隱藏於公開資料中)。

偽裝技術

程式碼嵌入 api.anthropic.com 字串,研究人員研判為干擾逆向工程的偽裝手法。

與已知攻擊家族的關聯

Miasma 為 Shai-Hulud 惡意軟體家族的新變種,而 Shai-Hulud 此前已與 TeamPCP 供應鏈攻擊行動(2026年5月入侵 Mistral AI 與 GitHub)及 Mini Shai-Hulud(波及 AntV NPM 生態系)有所關聯。^[raw/articles/ithome-2026-06-02-redhat-npm-miasma-supply-chain-176301.md]

應對建議

  1. 確認是否安裝受影響的 @redhat-cloud-services 套件版本
  2. 立即輪替 GitHub、NPM 與雲端服務憑證
  3. 審查 CI/CD 自動化發布流程是否有異常變更

來源文章

相關頁面