Supply chain атака срещу Red Hat

Picture of e-security.bg
e-security.bg
Зловреден код

Над 30 npm пакета са били заразени със зловреден код

Мащабна supply chain атака засегна екосистемата около Red Hat, след като повече от 30 npm пакета под namespace-а @redhat-cloud-services бяха компрометирани и използвани за разпространение на нов вариант на malware-а Shai-Hulud, наречен „Miasma“.

Инцидентът е бил разкрит от компаниите Aikido Security и OX Security, които са установили, че десетки версии на пакети съдържат backdoor код, предназначен за кражба на чувствителни идентификационни данни и тайни за достъп.

Според разследването засегнатите пакети са генерирали приблизително 117 000 изтегляния седмично, което значително увеличава потенциалния обхват на атаката.

Какво казва Red Hat

От Red Hat потвърждават инцидента и съобщават, че компрометираните пакети са били премахнати веднага след откриването на проблема.

Компанията подчертава, че:

  • пакетите са били предназначени само за вътрешни development инструменти
  • зловредният код не е бил използван в продукционната среда на console.redhat.com
  • към момента няма доказателства за компрометирани клиентски среди или production системи

Въпреки това разследването продължава, а компанията все още не е обявила официално как е бил компрометиран акаунтът, използван при атаката.

Компрометиран GitHub акаунт и злоупотреба с GitHub Actions

Според анализа на Aikido Security атакуващите вероятно са получили достъп до GitHub акаунт на служител на Red Hat и чрез него са внедрили злонамерени промени директно в няколко репозитории.

Добавени са били:

  • malicious GitHub Actions workflow
  • скрипт за автоматично публикуване на заразени npm пакети
  • механизъм за използване на OIDC токени за trusted publishing

Така нападателите са успели автоматично да публикуват компрометирани версии на множество пакети чрез легитимната npm инфраструктура.

Как работи malware-ът Miasma

Компрометираните пакети са съдържали preinstall скрипт, който автоматично изпълнява силно обфускиран index.js файл още по време на инсталацията.

Зловредният payload е бил с размер около 4.2 MB и е предназначен за масова кражба на чувствителни данни, включително:

  • GitHub Actions secrets
  • AWS идентификационни данни
  • Google Cloud и Azure credentials
  • HashiCorp Vault токени
  • Kubernetes service account tokens
  • npm и PyPI publishing tokens
  • SSH ключове
  • Docker credentials
  • GPG ключове
  • .env файлове

Това превръща атаката в особено опасна за DevOps и CI/CD среди.

Нов етап в еволюцията на Shai-Hulud

Изследователите смятат, че „Miasma“ представлява нова еволюция на malware семейството Shai-Hulud, което през последните месеци се използва в поредица от supply chain атаки срещу технологични компании и open-source проекти.

Сред предишните засегнати организации и платформи се споменават:

  • Bitwarden
  • SAP
  • Mistral AI
  • OpenAI
  • GitHub

Допълнително усложнение идва от факта, че през май групата TeamPCP публикува изходния код на Mini Shai-Hulud, което позволява на други заплахи  да модифицират и използват malware-а.

Какво отличава Miasma

Според OX Security новият вариант включва:

  • допълнителни слоеве за обфускация
  • многоетапно зареждане на payload-и
  • разширени механизми за кражба на credentials
  • по-сложно прикриване на активността

В компрометираните GitHub репозитории е открит и низът „Miasma: The Spreading Blight“, използван като маркер на кампанията.

Към момента се смята, че поне 309 GitHub репозитории са били компрометирани.

Какво трябва да направят организациите

Специалистите препоръчват на всички организации, инсталирали засегнатите версии, незабавно да:

  • ротират всички credentials и API ключове
  • подменят CI/CD токени
  • проверят GitHub Actions логове
  • анализират build системите за подозрителна активност
  • ревокират компрометирани SSH ключове
  • проверят cloud достъпите

Атаката срещу npm екосистемата на Red Hat показва колко опасни стават modern supply chain операциите, особено когато се комбинират компрометирани GitHub акаунти, автоматизирани CI/CD процеси и malware frameworks като Shai-Hulud.

Новият вариант Miasma демонстрира значителна еволюция в способностите за кражба на credentials и подчертава защо защитата на development инфраструктурата вече е критична част от киберсигурността.

#Miasma, # npm, # Red Hat, # Shai-Hulud, # supply chain атака
По материали от Интернет

Подобни

Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy
DriveSurge компрометира хиляди сайтове чрез ClickFix и FakeUpdates
3.06.2026
geralt-digitization-5194814_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy