红帽npm包遭入侵，开发者凭证面临泄露风险

上周末，从红帽公司 @redhat-cloud-services npm 命名空间拉取软件包的开发者，意外获取的不是正常的工具包，而是一个专门窃取机密的恶意程序。

多家网络安全机构的安全研究人员发出警告，一场新型供应链攻击已导致超过30个与红帽云服务相关的npm包受到感染，攻击者借此从开发者环境中窃取凭证、身份验证令牌及其他机密信息。

Wiz的研究人员将此次攻击活动追踪命名为"Miasma"，认为这是"Shai-Hulud"恶意软件家族的最新变种。该自我传播型恶意软件曾多次出现在针对npm生态系统的软件供应链攻击中。

Wiz研究人员在博客文章中表示："调查显示，至少有32个软件包版本包含未经授权的修改，且与对应的源代码仓库不符。这些软件包累计平均每周下载量约为8万次。"

攻击者之所以将目标锁定在红帽云服务相关软件包上，是因为许多企业本身就对这一软件生态系统高度信任。值得庆幸的是，研究人员指出，大部分疑似受感染的软件包已被下架处理。

据悉，攻击者入侵了红帽云服务相关命名空间下发布的npm包，并植入了能够在软件包安装过程中自动执行的恶意代码。

这一恶意载荷专门用于从受感染环境中窃取各类凭证和机密信息。研究人员观察到，攻击者试图收集npm身份验证令牌、环境变量、云服务凭证，以及通常存储在开发者工作站和CI/CD系统中的其他敏感信息。

Wiz的分析显示，此次所用恶意软件属于"Mini Shai-Hulud"家族，这是一种凭证窃取型威胁，今年以来已多次出现在npm生态系统攻击中。研究人员表示："该恶意载荷似乎源自TeamPCP开源的（Mini）Shai-Hulud恶意软件。所观察到的改动大多属于表面修改，主要是将对《沙丘》宇宙的引用替换为古希腊神话主题（如'斯巴达'），而底层功能和攻击手法基本保持不变。"

该变种恶意软件被发现会创建包含"Miasma: The Spreading Blight"描述字样的代码仓库。

研究人员指出，尽管凭证窃取是此次攻击的直接目标，但该攻击活动的更深层目的，似乎在于在软件分发生态系统中实现持久化驻留并不断扩大影响范围。

据Wiz介绍，该恶意软件会主动搜索与软件包发布工作流相关的凭证。OX Security同样注意到，恶意代码专门针对那些能让攻击者突破初始受感染软件包、进而获取更多开发者账户和代码仓库访问权限的机密信息。

Wiz还发现，攻击者对软件包发布工作流进行了篡改，使恶意版本看上去完全合法。具体来说，一个GitHub Actions工作流会请求GitHub OpenID Connect（OIDC）身份令牌，并执行经过混淆处理的载荷，从而发布带有有效SLSA来源证明的软件包。这使得受感染的版本能够携带可信的供应链元数据，进一步迷惑受害者。

此次攻击手法源自TeamPCP早前针对TanStack的攻击，而TeamPCP正是Mini Shai-Hulud恶意软件的开源发布者。研究人员在近期的"Megalodon"攻击活动中也发现了与该威胁行为者代码高度相似的痕迹，表明这场已持续数月的供应链攻击仍在持续蔓延。

对于受影响的企业来说，当务之急是确认是否安装了上述恶意软件包，以及是否有凭证存在泄露风险。研究人员建议：轮换可能已被泄露的机密信息，撤销并重新颁发npm发布令牌，并全面审查代码仓库及软件包的发布记录。

Wiz研究人员表示，在发布披露信息时，"大多数"恶意版本已被撤销。Wiz还公布了一份入侵指标（IOC）列表以及受感染软件包的名称，为相关方提供进一步参考。

Q&A

Q1：Miasma攻击活动是什么？它的主要攻击目标是哪些？

A：Miasma是Wiz研究人员追踪命名的一场供应链攻击活动，攻击者入侵了超过30个与红帽云服务相关的npm包，植入恶意代码，专门窃取开发者环境中的凭证、身份验证令牌和云服务访问密钥等敏感信息。这些软件包每周累计下载量约为8万次，攻击目标主要是使用相关软件包的企业开发者及CI/CD系统。

Q2：Mini Shai-Hulud恶意软件有什么特点？

A：Mini Shai-Hulud是一种专门用于凭证窃取的恶意软件家族，由TeamPCP开源发布，今年已多次出现在npm生态系统攻击中。此次Miasma活动使用的变种在外观上将《沙丘》宇宙的引用替换为古希腊神话主题，但底层攻击功能基本不变。该恶意软件还能修改软件包发布工作流，使恶意版本携带合法的供应链元数据，从而绕过安全检测。

Q3：开发者或企业发现使用了受感染的npm包后应该怎么做？

A：研究人员建议立即采取以下措施：首先确认是否安装了受感染的软件包版本；其次轮换所有可能已泄露的凭证和机密信息；同时撤销并重新颁发npm发布令牌；最后全面审查代码仓库及软件包的发布活动记录。目前大多数恶意版本已被下架，Wiz也公布了入侵指标（IOC）和受感染包名称列表供参考。