安全公司 StepSecurity 于6月1日披露,攻击者在 Red Hat 官方 @redhat-cloud-services npm 发布作用域中植入后门,受感染的包至少涉及32个、约64至95个独立版本,相关包每周下载量约117,000次。该恶意软件是5月12日公开发布的 Shai-Hulud 凭据收集框架的衍生变体,被命名为"Miasma",通过 preinstall 钩子在开发者执行 npm install 时立即触发执行,无需任何应用代码运行。安装时脚本体积达4.2 MB(正常情况下同类文件仅需数KB),内嵌三层混淆,运行后通过读取构建进程的原始内存(绕过日志防泄漏保护)扫描并窃取 GitHub Actions 密钥、AWS/GCP/Azure/Kubernetes/HashiCorp Vault/npm/CircleCI访问令牌。受感染包列表包括 @redhat-cloud-services/chrome v2.3.1、@redhat-cloud-services/frontend-components v7.7.2 等。
Miasma 具备自我复制能力:窃得 npm 发布令牌后,利用 publishConfig 绕过双因素认证检查,向被攻击账户可触达的其他包推送新的后门版本,沿依赖树向外扩散;恶意代码还明确检测并规避 CrowdStrike、SentinelOne、Carbon Black 和 StepSecurity Harden-Runner 等安全工具,并跳过俄语系统环境。攻击者并未窃取登录凭据,而是利用了 npm GitHub Actions OIDC 可信发布流程中的结构性漏洞——仅需对目标仓库拥有推送权限并能修改 workflow 文件即可入侵,具体入口尚未最终确认。Red Hat 确认已将受影响包从 npm 仓库下架,并表示"这些包严格限于内部开发工具,恶意代码从未在任何 Red Hat 产品或服务中运行"。值得注意的是,Miasma 所基于的 Shai-Hulud 框架仅在攻击发生前20天(5月12日)公开,表明新型进攻性工具正在被极速武器化。