Red Hat雲端服務NPM套件遭Shai-Hulud變種Miasma入侵,恐外洩GitHub與雲端憑證

來源: iThome(ID: 721)
URL: https://www.ithome.com.tw/news/176301
發布日期: 2026-06-02

事件概要

資安公司 OX SecurityAikido 揭露,Red Hat 在 NPM 上的雲端服務套件(@redhat-cloud-services)遭植入 Miasma 惡意程式(Shai-Hulud 新變種),可竊取登入權杖、雲端憑證等敏感資料。

影響範圍

項目數據
受影響套件數31–32 個
受影響版本數96 個
每週下載量~11.6 萬次
含竊憑證的 GitHub 儲存庫超過 210 個

攻擊手法

  • 入侵途徑: 疑似取得 Red Hat 員工 GitHub 帳號,繞過程式碼審查,將惡意工作流程推送至多個儲存庫
  • 發布機制: 透過 GitHub Actions OIDC 發布(代表 CI/CD 流程遭入侵,非 NPM 發布權杖外洩)
  • 多階段酬載: 第4階段準備約 14 個酬載,包括:
    • 安裝 JavaScript 執行環境 Bun
    • 傾印記憶體
    • 外洩 GitHub Actions 資訊
    • 修改 Claude Code 設定
    • 監控權杖
    • 繼續下載第5、第6階段酬載
  • 資料外傳: 將竊取資料送往攻擊者以竊來 GitHub 權杖建立的公開儲存庫
  • 偽裝: 程式碼中出現 api.anthropic.com 字串,研究人員研判為干擾分析的偽裝

應對建議

  1. 檢查版本: 確認是否安裝受影響的 @redhat-cloud-services 套件版本
  2. 輪替憑證: 立即更換 GitHub、NPM 與雲端服務憑證
  3. 審查 CI/CD: 檢視自動化發布流程是否有異常變更

目前狀態

截稿前,Red Hat 與 NPM 尚未發布官方完整說明,分析主要來自 OX Security 與 Aikido。

衍生頁面