Red Hat NPM套件遭Miasma供應鏈攻擊外洩GitHub與雲端憑證
資安公司 OX Security 與 Aikido 於 2026 年 6 月 2 日揭露,Red Hat 在 NPM 上的雲端服務套件(@redhat-cloud-services)遭植入 Miasma 惡意程式(Shai-Hulud 惡意軟體家族新變種),透過 GitHub Actions OIDC 機制在 CI/CD 流程中完成部署,可竊取 GitHub 權杖、NPM 憑證及雲端服務登入資訊。
攻擊規模
| 項目 | 數據 |
|---|---|
| 受影響套件數 | 31–32 個 |
| 受影響版本數 | 96 個 |
| 每週下載量 | ~11.6 萬次 |
| 含竊憑證 GitHub 儲存庫 | 超過 210 個 |
技術分析
入侵向量
攻擊者疑似取得 Red Hat 員工 GitHub 帳號控制權,繞過程式碼審查機制,將惡意 GitHub Actions 工作流程推送至多個官方儲存庫。發布機制利用 GitHub Actions OIDC(OpenID Connect),表示 CI/CD 整合流程遭入侵,而非 NPM 發布權杖直接洩露。
多階段酬載(第4階段)
- 安裝 JavaScript 執行環境 Bun
- 傾印記憶體
- 外洩 GitHub Actions 資訊
- 修改 Claude Code 設定
- 監控權杖
- 下載第5、第6階段酬載
資料外傳手法
竊取資料送往攻擊者以竊來的 GitHub 權杖建立的公開儲存庫(隱藏於公開資料中)。
偽裝技術
程式碼嵌入 api.anthropic.com 字串,研究人員研判為干擾逆向工程的偽裝手法。
與已知攻擊家族的關聯
Miasma 為 Shai-Hulud 惡意軟體家族的新變種,而 Shai-Hulud 此前已與 TeamPCP 供應鏈攻擊行動(2026年5月入侵 Mistral AI 與 GitHub)及 Mini Shai-Hulud(波及 AntV NPM 生態系)有所關聯。^[raw/articles/ithome-2026-06-02-redhat-npm-miasma-supply-chain-176301.md]
應對建議
- 確認是否安裝受影響的
@redhat-cloud-services套件版本 - 立即輪替 GitHub、NPM 與雲端服務憑證
- 審查 CI/CD 自動化發布流程是否有異常變更
來源文章
相關頁面
- red-hat — 受害公司
- ox-security — 揭露此事件的資安公司
- aikido — 揭露此事件的資安公司
- npm — 受攻擊的套件平台
- github — 攻擊者利用的程式碼平台
- teampcp — Shai-Hulud 家族相關駭客組織
- software-supply-chain-attack — 軟體供應鏈攻擊概念
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — 同家族前次攻擊