Red Hat雲端服務NPM套件遭Shai-Hulud變種Miasma入侵，恐外洩GitHub與雲端憑證

OX Security研究人員分析，該事件影響@redhat-cloud-services名下至少31個套件，累計每周下載量約11.6萬次，GitHub上也已發現超過210個含有遭竊憑證的儲存庫。Aikido則在另一篇分析文中指出，受影響範圍可能達32個套件、96個版本。

Miasma和先前Shai-Hulud變種相比，攻擊流程被拆分成更多層。OX Security指出，惡意程式在第4階段就準備約14個酬載，其中多數用來安裝JavaScript執行環境Bun，其他程式碼則負責傾印記憶體、外洩GitHub Actions資訊、修改Claude Code設定、監控權杖，並繼續下載第5與第6階段酬載。也就是說，Miasma變種不只在套件安裝時竊取資料，還會透過後續階段擴大蒐集範圍與隱匿程度。

Aikido另指出，這批惡意套件是透過GitHub Actions OIDC發布，代表遭入侵的可能是CI/CD流程，而不是NPM發布權杖外洩。研究人員研判，攻擊者疑似取得Red Hat員工的GitHub帳號，繞過程式碼審查，將惡意工作流程與指令碼推送到多個儲存庫，再利用NPM的可信發布機制上傳受污染套件。

研究人員也發現，Miasma會在套件安裝時自動執行惡意指令碼，並把蒐集到的資料送往攻擊者利用竊來的GitHub權杖，在受害者帳號中建立的GitHub公開儲存庫。程式中還出現api.anthropic.com字串，但OX Security研究人員研判這比較像是干擾分析的偽裝，而非真正的資料外傳目的地。

截稿前，相關公開分析主要來自OX Security與Aikido，尚未看到Red Hat或NPM針對這起事件發布完整官方說明。研究人員建議，已安裝相關Red Hat雲端服務套件的團隊應檢查是否使用受影響版本，並輪替GitHub、NPM與雲端服務憑證，由於Aikido研判攻擊可能涉及CI/CD流程，團隊也應檢視自動化發布流程是否有異常變更。