IT之家 6 月 2 日消息，科技媒體 bleepingcomputer 昨日（6 月 1 日）發(fā)布博文，報道稱 Red Hat 名下 `@redhat-cloud-services` 命名空間超過 30 個 npm 包遭供應(yīng)鏈攻擊，遭到攻擊者投放 Shai-Hulud 新變種“Miasma”。

安全公司 Aikido 稱，這些包每周下載約 117000 次，攻擊目標包括開發(fā)者憑據(jù)、云密鑰、SSH 密鑰和 CI / CD Token。

Aikido 與 OX Security 發(fā)現(xiàn)，多批 npm 包版本被加入后門。Red Hat 向 BleepingComputer 表示，公司已啟動調(diào)查，并從 npm 注冊表移除受影響包。

Red Hat 稱，現(xiàn)有調(diào)查顯示本次事件限于內(nèi)部開發(fā)工具，惡意代碼未通過 console.redhat.com 面向客戶發(fā)布。

Aikido 稱，攻擊者據(jù)稱先入侵一名 Red Hat 員工的 GitHub 賬戶，再向多個倉庫直接推送惡意提交。這些提交加入 GitHub Actions 工作流和腳本，濫用 npm 發(fā)布機制，把帶后門的版本發(fā)布出去。IT之家附上原文相關(guān)示意圖如下：

技術(shù)細節(jié)顯示，工作流運行后會安裝 Bun，并執(zhí)行 `_index.js`。腳本利用 `id-token：write` 權(quán)限向 GitHub 申請短期 OIDC Token，再用該 Token 連接 npm 的 trusted publishing 端點。

Aikido 稱，惡意載荷約 4.2MB，可竊取 GitHub Actions secrets、AWS、Google Cloud、Azure 憑據(jù)、HashiCorp Vault Token、Kubernetes 服務(wù)賬戶 Token、npm 與 PyPI 發(fā)布 Token、SSH 密鑰、Docker 憑據(jù)、GPG 密鑰和 `.env` 文件。因此，安裝過受影響版本的組織應(yīng)立即輪換相關(guān)憑據(jù)、密鑰和 Token。

這波攻擊延續(xù)了近幾個月 Shai-Hulud 相關(guān)供應(yīng)鏈攻擊的趨勢，Bitwarden、SAP、Mistral、TanStack、OpenAI 和 GitHub 等項目此前也受影響。

研究人員稱，Miasma 與 Mini Shai-Hulud 相似，但增加混淆、多階段載荷投遞和更強的數(shù)據(jù)竊取能力。截至原文發(fā)布時，已有 309 個 GitHub 倉庫受到 Miasma 活動影響。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。