北京
每周近12万次的下载量,背后却可能是一群开发者的凭据正在悄无声息地流失。2026年6月2日披露的一起供应链攻击显示,Red Hat官方npm命名空间“@redhat-cloud-services”下连续32个包的96个版本遭到篡改,被植入了名为Miasma的凭据窃取蠕虫。这些包在npm上合计每周下载量高达116,991次,而恶意代码只需开发者执行npm install就会自动运行,无需在代码中显式引用。
这次攻击的特殊之处在于,攻击者并未直接盗取发布令牌,而是滥用了GitHub Actions OIDC的工作流。据安全公司Aikido分析,极可能是某位Red Hat员工的GitHub账户被攻陷,随后攻击者在多个内部仓库中以孤立提交的方式直接注入恶意配置文件——绕过了常规的代码审查。这些文件会在发布流程中通过GitHub Actions获取短期有效的OIDC令牌,再利用令牌将后门包推送到npm官方频道。整套操作全程表现为正常的自动化发布,从日志上看毫无违和感。
植入的恶意载荷是一个约4.2MB的巨量JavaScript文件,经过了多层混淆处理。它会系统性地扫描运行环境中的GitHub Actions密钥、AWS/Google Cloud/Azure云凭据、SSH私钥、npm与PyPI发布令牌、Docker认证信息以及.env配置文件等敏感资料。盗取的数据经过加密后被外传,同时恶意代码还会像蠕虫一样横向移动,尝试向当前环境可访问的其他包或仓库扩散后门。一个开发机的沦陷,就可能成为污染整条内部依赖链的起点。
Red Hat在确认问题后已将所有受影响版本从npm注册表中移除,并强调这些包仅限于内部开发使用,并非通过console.redhat.com向客户交付的组件。截至公告时,官方称未发现客户、合作伙伴或生产系统受到直接影响。但Aikido给出的应对建议要严厉得多:只要曾安装过相关版本,就必须假设CI/CD环境、开发终端已被突破,并立即轮换所有CI密钥、云凭据、SSH密钥和各类令牌。这两种截然不同的口径,正好反映出供应链安全事件中“官方声明”与“安全实战”之间常见的落差。
从攻击手法来看,Miasma与此前多次在npm供应链攻击中现身的Mini Shai-Hulud高度相似,但又增加了额外的混淆层级、多阶段执行和更全面的凭据收集能力。此次事件再次印证了现代软件供应链的一个脆弱点:即便源头仓库的安全实践已经相当成熟,一旦涉及自动化发布与OIDC信任链,攻击者依然能够找到看似合法的入侵路径。对于开发者而言,定期轮换凭据、监控意外发布的包版本、并对安装后即执行的脚本保持警惕,已经从“最佳实践”变为“必要底线”。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
