搜索
RedHat供应链攻击调查:黑客劫持GitHub账户后发布多个恶意NPM软件包
2 小时前
2026年6月1日,红帽公司在NPM平台的@redhat-cloud-services命名空间下超过30个软件包遭植入Mini Shai-Hulud开源蠕虫变种恶意载荷。攻击者通过控制GitHub Actions的OIDC令牌,绕过常规安全审查,直接利用合法发布通道注入恶意代码。恶意包在package.json中添加preinstall脚本,在npm install阶段自动执行4.2MB的多层混淆载荷,该载荷通过Bun运行时环境解密并执行攻击代码。恶意代码系统性窃取GitHub令牌、云平台密钥(AWS/GCP/Azure)、基础设施机密(Kubernetes/Vault)及开发者工具链凭证(npm/PyPI/SSH),同时通过扫描AWS Secrets Manager、Azure Key Vault等云服务凭据管理平台扩大攻击范围。针对GitHub Actions实例,载荷直接从进程内存提取正在运行的密钥数据,绕过日志脱敏机制。窃取的数据通过伪装成合法请求发送至攻击者控制的服务器,并在被入侵的GitHub账号下创建公开仓库,以“Miasma: The Spreading Blight”为描述存储窃取的凭据。该蠕虫在Linux和macOS系统实现持久化驻留,通过注册系统服务或属性列表文件确保开机自启,同时修改Claude、Codex等AI开发者工具配置,在VS Code中植入文件夹打开时的自动执行任务。此次攻击暴露了现代软件供应链中开发者机器、CI/CD流水线、GitHub Actions、npm发布权限及云服务凭据构成的完整攻击链,单个发布节点失陷即可通过正常分发机制扩散至整个生态。
