Red Hat雲端服務NPM套件遭Shai-Hulud變種Miasma入侵,恐外洩GitHub與雲端憑證
來源: iThome(ID: 721)
URL: https://www.ithome.com.tw/news/176301
發布日期: 2026-06-02
事件概要
資安公司 OX Security 與 Aikido 揭露,Red Hat 在 NPM 上的雲端服務套件(@redhat-cloud-services)遭植入 Miasma 惡意程式(Shai-Hulud 新變種),可竊取登入權杖、雲端憑證等敏感資料。
影響範圍
| 項目 | 數據 |
|---|---|
| 受影響套件數 | 31–32 個 |
| 受影響版本數 | 96 個 |
| 每週下載量 | ~11.6 萬次 |
| 含竊憑證的 GitHub 儲存庫 | 超過 210 個 |
攻擊手法
- 入侵途徑: 疑似取得 Red Hat 員工 GitHub 帳號,繞過程式碼審查,將惡意工作流程推送至多個儲存庫
- 發布機制: 透過 GitHub Actions OIDC 發布(代表 CI/CD 流程遭入侵,非 NPM 發布權杖外洩)
- 多階段酬載: 第4階段準備約 14 個酬載,包括:
- 安裝 JavaScript 執行環境 Bun
- 傾印記憶體
- 外洩 GitHub Actions 資訊
- 修改 Claude Code 設定
- 監控權杖
- 繼續下載第5、第6階段酬載
- 資料外傳: 將竊取資料送往攻擊者以竊來 GitHub 權杖建立的公開儲存庫
- 偽裝: 程式碼中出現
api.anthropic.com字串,研究人員研判為干擾分析的偽裝
應對建議
- 檢查版本: 確認是否安裝受影響的
@redhat-cloud-services套件版本 - 輪替憑證: 立即更換 GitHub、NPM 與雲端服務憑證
- 審查 CI/CD: 檢視自動化發布流程是否有異常變更
目前狀態
截稿前,Red Hat 與 NPM 尚未發布官方完整說明,分析主要來自 OX Security 與 Aikido。
衍生頁面
- Red Hat NPM套件遭Miasma供應鏈攻擊外洩GitHub與雲端憑證 — 核心事件概念頁
- ox-security — 揭露此事件的資安公司
- aikido — 揭露此事件的資安公司
- red-hat — 受害公司(Red Hat)