Ponad 30 pakietów npm Red Hat skompromitowanych przez robala Miasma
Firma Red Hat potwierdziła kompromitację ponad 30 pakietów npm w scope @redhat-cloud-services. Atak, nazwany Miasma, wykorzystuje mechanizm samopowielania – robal infikuje kolejne pakiety w ekosystemie, kradnąc poświadczenia deweloperów z AWS, Azure, GCP, Kubernetes, Vault, GitHub Actions oraz usług chmurowych.
TL;DR: Ponad 30 pakietów npm w scope @redhat-cloud-services zostało skompromitowanych 1 czerwca 2026 przez robala Miasma. Malware kradnie poświadczenia z AWS, Azure, GCP, Vault, Kubernetes i GitHub Actions. Atak wykorzystuje mechanizm samopowielania oparty na Mini Shai-Hulud. Red Hat usunął złośliwe wersje z rejestru npm.
Jak atak Miasma skompromitował pakiety npm Red Hat?
Atak Miasma został wykryty 1 czerwca 2026, gdy ponad 30 pakietów w scope @redhat-cloud-services zawierało złośliwy kod. Według analizy firmy Wiz, malware został wstrzyknięty do oficjalnych pakietów Red Hat poprzez modyfikację plików konfiguracyjnych procesu budowania. Osoby atakujące przejęły kontrolę nad kontem npm z uprawnieniami do publikacji w tym scope. To precyzyjne trafienie w infrastrukturę.
Złośliwy kod aktywował się podczas instalacji pakietu – uruchamiał skrypt postinstall, który pobierał i wykonywał zdalny payload. Mechanizm ten jest wzorowany na malware Mini Shai-Hulud, opisanym wcześniej przez badaczy bezpieczeństwa. Atak objął pakiety takie jak @redhat-cloud-services/catalog, @redhat-cloud-services/remediations i @redhat-cloud-services/vulnerabilities.
Złośliwe wersje zostały opublikowane między 1 a 2 czerwca, po czym Red Hat usunął je z rejestru npm po powiadomieniu przez badaczy z firmy Mend. Atakujący wykorzystali lukę w procesie publikacji, co pozwoliło im na wstrzyknięcie kodu do zaufanego źródła. Jak zatem upewnić się, że instalowane pakiety są bezpieczne?
Jakie dane logowania kradnie malware Miasma?
Miasma to wieloetapowy robal zaprojektowany do kradzieży poświadczeń z wielu platform chmurowych jednocześnie. Według Mend.io, malware celuje w poświadczenia z usług AWS, Azure, GCP, Vault, Kubernetes oraz GitHub Actions. Skrypt przeszukuje system plików ofiary, lokalizując pliki konfiguracyjne z danymi uwierzytelniającymi.
Po znalezieniu poświadczeń, malware koduje je i przesyła do serwera kontrolnego przez DNS lub HTTPS. Atakujący mogą następnie wykorzystać te dane do dostępu do infrastruktury chmurowej firm, repozytoriów kodu oraz systemów CI/CD. Skala kradzieży jest imponująca.
Lista celów robala Miasma:
- Pliki konfiguracyjne AWS (~/.aws/credentials, zmienne środowiskowe)
- Poświadczenia Azure (tokeny MSI, pliki az cli)
- Konfiguracja GCP (pliki service account, tokeny aplikacji)
- Sekrety HashiCorp Vault (tokeny, klucze API)
- Pliki kubeconfig z dostępem do klastrów Kubernetes
- Tokeny GitHub Actions z plików konfiguracyjnych CI/CD
- Zmienne środowiskowe zawierające klucze API i hasła
- Pliki .env z konfiguracją aplikacji lokalnych
- Pliki .npmrc z tokenami dostępu do prywatnych rejestrów
Powyższa tabela prezentuje zestawienie celów ataku:
| Platforma docelowa | Typ skradzionych danych | Metoda eksfiltracji |
|---|---|---|
| AWS | Access keys, session tokens | HTTPS POST |
| Azure | MSI tokens, CLI credentials | DNS tunneling |
| GCP | Service account keys | HTTPS POST |
| Vault | Auth tokens, API keys | DNS tunneling |
| Kubernetes | Kubeconfig, bearer tokens | HTTPS POST |
| GitHub Actions | CI/CD tokens, secrets | HTTPS POST |
Dlaczego atak na pakiety npm Red Hat jest groźny?
Kompromitacja pakietów w scope @redhat-cloud-services jest szczególnie niebezpieczna, ponieważ Red Hat to zaufany dostawca oprogramowania enterprise. Jak podaje Ars Technica, firmy automatycznie ufają pakietom z tego scope, często bez dodatkowej weryfikacji. Programiści rzadko sprawdzają kod pakietów z oficjalnych źródeł dostawców.
Atak na łańcuch dostaw npm nie jest nowym zjawiskiem – podobny incydent opisano w analizie ataku na pakiety TanStack. Jednak skala ataku Miasma i mechanizm samopowielania sprawiają, że jest on bardziej zaawansowany. Po zainfekowaniu jednej maszyny deweloperskiej, robal może rozprzestrzenić się na inne pakiety w lokalnym środowisku. To poważne zagrożenie dla zespołów.
Warto rekomendować wdrożenie narzędzi takich jak Socket.dev, które wykrywają złośliwe skrypty instalacyjne. Podobnie jak w przypadku ataku na McKinsey Lilli, atakujący wykorzystali zaufanie do znanej marki. Czy zwykłe zaufanie do dostawcy to jeszcze wystarczająca obrona?
Jak działa mechanizm samopowielania robala Miasma?
Miasma wykorzystuje mechanizm samopowielania wzorowany na malware Mini Shai-Hulud, co oznacza, że po zainfekowaniu systemu robal automatycznie modyfikuje inne pakiety npm w lokalnym środowisku deweloperskim. Według BleepingComputer, malware wstrzykuje swój kod do plików package.json oraz skryptów instalacyjnych innych pakietów.
Proces infekcji przebiega w kilku etapach. Najpierw złośliwy skrypt postinstall pobiera payload ze zdalnego serwera. Następnie payload przeszukuje system plików w poszukiwaniu projektów Node.js. Na koniec modyfikuje pliki package.json w tych projektach, dodając złośliwy kod do skryptów postinstall. Robal działa całkowicie automatycznie.
Mechanizm ten pozwala na rozprzestrzenianie się ataku poza oryginalnie zainfekowane pakiety. Jeśli programista zainstaluje zainfekowany pakiet Red Hat, robal może dodać złośliwy kod do wszystkich innych pakietów w jego systemie. To poważne zagrożenie dla zespołów deweloperskich.
Robal Miasma modyfikuje pliki package.json w lokalnych projektach Node.js, dodając złośliwy kod do skryptów postinstall, co pozwala na samopowielanie się malware w środowisku deweloperskim. (BleepingComputer)
Jak Red Hat zareagował na atak Miasma?
Red Hat usunął wszystkie skompromitowane wersje pakietów z rejestru npm w ciągu 48 godzin od wykrycia ataku. Szybka reakcja była możliwa dzięki powiadomieniu przez badaczy z Mend.
Ponadto Red Hat zablokował konto npm odpowiedzialne za publikację złośliwych wersji. Firma zaleciła programistom natychmiastowe usunięcie zainfekowanych pakietów oraz rotację wszystkich poświadczeń, które mogły zostać skompromitowane. Zalecenia obejmują również audyt plików package.json pod kątem podejrzanych skryptów postinstall.
Red Hat usunął ponad 30 skompromitowanych pakietów npm z scope @redhat-cloud-services w ciągu 48 godzin od wykrycia ataku Miasma 1 czerwca 2026, po powiadomieniu przez badaczy z firmy Mend. (BleepingComputer)
Jakie pakiety Red Hat zostały skompromitowane przez Miasma?
Atak objął pakiety w scope @redhat-cloud-services, wykorzystywanym przez narzędzia chmurowe Red Hat. Złośliwy kod został wstrzyknięty w postaci zmodyfikowanych skryptów instalacyjnych.
Oto lista wybranych skompromitowanych pakietów:
- @redhat-cloud-services/catalog – komponent katalogu usług
- @redhat-cloud-services/remediations – narzędzie do remediacji podatności
- @redhat-cloud-services/vulnerabilities – moduł skanowania podatności
- @redhat-cloud-services/insights – komponent analityczny
- @redhat-cloud-services/compliance – narzędzie audytu zgodności
- @redhat-cloud-services/notifications – moduł powiadomień
- @redhat-cloud-services/rbac – zarządzanie dostępem
- @redhat-cloud-services/sources – integracja źródeł danych
Każdy z tych pakietów w zainfekowanej wersji zawierał skrypt postinstall pobierający zdalny payload. (Mend.io)
| Pakiet | Funkcja | Zainfekowana wersja |
|---|---|---|
| catalog | Katalog usług | modyfikowana 1-2 czerwca |
| remediations | Remediacja podatności | modyfikowana 1-2 czerwca |
| vulnerabilities | Skanowanie podatności | modyfikowana 1-2 czerwca |
| insights | Analityka | modyfikowana 1-2 czerwca |
Jakie są najlepsze praktyki ochrony przed atakami na łańcuch dostaw npm?
Ochrona przed atakami typu Miasma wymaga wielowarstwowego podejścia do bezpieczeństwa łańcucha dostaw. Według Wiz, kluczowe jest monitorowanie skryptów instalacyjnych w pakietach npm oraz wdrożenie narzędzi do analizy zachowania pakietów przed ich użyciem w produkcji. Podobne rekomendacje opisano w postmortem ataku na pakiety TanStack.
Podstawowe środki ochrony obejmują:
- Weryfikację skryptów postinstall przed instalacją pakietu
- Używanie narzędzi takich jak Socket.dev do wykrywania złośliwego kodu
- Blokowanie dostępu do sieci podczas instalacji zależności
- Regularny audyt plików package-lock.json
- Rotację poświadczeń po każdej aktualizacji zależności
- Używanie prywatnych rejestrów npm z podpisanymi pakietami
- Wdrożenie mechanizmów SLSA dla weryfikacji provenience
- Monitorowanie ruchu DNS z maszyn deweloperskich
Choć żadne zabezpieczenia nie dają stuprocentowej gwarancji, połączenie tych metod znacznie utrudnia atakującym. Jak pokazuje atak na McKinsey Lilli, zaufanie do znanych marek jest często wykorzystywane przez osoby atakujące.
Jak wykryć infekcję robalem Miasma w środowisku deweloperskim?
Wykrycie robala Miasma wymaga sprawdzenia kilku konkretnych wskaźników kompromitacji w środowisku deweloperskim. Według The Hacker News, malware pozostawia ślady w plikach package.json oraz w historii połączeń sieciowych. Należy sprawdzić nieznane skrypty postinstall oraz podejrzany ruch DNS lub HTTPS.
Kroki do wykrycia infekcji:
- Sprawdź pliki package.json pod kątem nieznanych skryptów postinstall
- Przeanalizuj ruch sieciowy podczas npm install pod kątem podejrzanych połączeń
- Zweryfikuj wersje zainstalowanych pakietów @redhat-cloud-services
- Sprawdź pliki .npmrc pod kątem modyfikacji
- Przeskanuj system plików pod kątem obecności plików payloadu robala
- Monitoruj procesy Node.js wykonujące podejrzane żądania sieciowe
Robal Miasma modyfikuje pliki package.json w lokalnych projektach Node.js, dodając złośliwy kod do skryptów postinstall, co pozwala na samopowielanie się malware w środowisku deweloperskim. (The Hacker News)
Jakie są rekomendacje bezpieczeństwa po ataku Miasma?
Po ataku Miasma, Socket.dev rekomenduje natychmiastową rotację wszystkich poświadczeń, które mogły zostać narażone na kontakcie ze skompromitowanymi pakietami. Dotyczy to przede wszystkim kluczy AWS, tokenów Azure, kluczy GCP, sekretów Vault oraz tokenów GitHub Actions. Ponadto należy zaktualizować wszystkie pakiety @redhat-cloud-services do bezpiecznych wersji opublikowanych po usunięciu złośliwego kodu.
Rekomendowane działania:
- Rotacja kluczy dostępu AWS, Azure, GCP
- Unieważnienie tokenów Vault i GitHub Actions
- Aktualizacja pakietów @redhat-cloud-services do bezpiecznych wersji
- Audyt logów dostępu do infrastruktury chmurowej
- Wdrożenie monitorowania skryptów instalacyjnych
- Przegląd uprawnień kont npm w organizacji
Socket.dev zidentyfikował ponad 30 skompromitowanych pakietów w scope @redhat-cloud-services, zalecając natychmiastową rotację poświadczeń AWS, Azure, GCP, Vault i GitHub Actions po wykryciu ataku Miasma. (Socket.dev)
Często zadawane pytania
Ile pakietów npm Red Hat zostało skompromitowanych w ataku Miasma?
Ponad 30 pakietów w scope @redhat-cloud-services zostało skompromitowanych między 1 a 2 czerwca 2026, według Mend.io – zaktualizuj wszystkie pakiety z tego scope do najnowszych bezpiecznych wersji.
Jakie poświadczenia kradnie malware Miasma?
Miasma celuje w poświadczenia AWS, Azure, GCP, Vault, Kubernetes i GitHub Actions, przeszukując pliki konfiguracyjne i zmienne środowiskowe, według Wiz – natychmiast przeprowadź rotację wszystkich kluczy dostępu.
Jak robal Miasma rozprzestrzenia się między pakietami?
Miasma wykorzystuje mechanizm samopowielania wzorowany na Mini Shai-Hulud, modyfikując pliki package.json innych pakietów w lokalnym środowisku, według BleepingComputer – sprawdzaj skrypty postinstall we wszystkich zależnościach.
Jak szybko Red Hat zareagował na atak Miasma?
Red Hat usunął skompromitowane wersje z rejestru npm w ciągu 48 godzin od wykrycia ataku 1 czerwca 2026, po powiadomieniu przez badaczy z Mend, według Ars Technica – zweryfikuj wersje pakietów w swoich projektach.
Podsumowanie
Atak Miasma na pakiety npm Red Hat pokazuje, że zaufanie do oficjalnych źródeł oprogramowania nie wystarczy jako zabezpieczenie. Kluczowe wnioski z tego incydentu:
- Pakiety od zaufanych dostawców, takich jak Red Hat, mogą zostać skompromitowane – weryfikuj skrypty instalacyjne
- Mechanizm samopowielania robala Miasma pozwala na infekcję pakietów poza oryginalnym celem
- Szybka reakcja Red Hat i usunięcie złośliwych wersji w ciągu 48 godzin ograniczyła skalę ataku
- Regularna rotacja poświadczeń chmurowych zmniejsza ryzyko wykorzystania skradzionych danych
- Narzędzia takie jak Socket.dev mogą wykrywać złośliwe skrypty instalacyjne przed instalacją
Zabezpieczenie łańcucha dostaw wymaga proaktywnego podejścia – audytuj zależności, monitoruj ruch sieciowy podczas instalacji i rotuj poświadczenia regularnie. Więcej o ochronie łańcucha dostaw npm przeczytasz w postmortem ataku na pakiety TanStack.