Miasma malver je zarazio 32 Red Hat paketa preko kompromitovanog GitHub naloga
Zlonamerni kod Miasma zarazio je 32 Red Hat paketa preko kompromitovanog GitHub naloga, ugrožavajući razvojne timove.
Šta se desilo?
Početkom juna 2026. godine, bezbednosni stručnjaci iz više kompanija otkrili su ozbiljnu kompromitaciju lanca snabdevanja koja pogađa Red Hat pakete. Napadači su se infiltrirali u lični GitHub nalog zaposlenog Red Hata i bez dozvole uneli zlonamerni kod u 32 npm paketa iz @redhat-cloud-services repozitorijuma. Preko 96 zagađenih verzija paketa preuzima se između 80.000 i 117.000 puta nedeljno.
Koga pogađa?
Ugroženi su razvojni timovi koji koriste Red Hat Cloud Services pakete, posebno oni koji koriste Red Hat Hybrid Cloud Console. Međutim, pošto su ovi paketi deo šire razvojne infrastrukture, rizik se proširuje na sve organizacije čiji programeri koriste pogođene zavisnosti u svojim projektima. Najveći rizik imaju kompanije u oblaku i DevOps timovi.
Kako se zaštititi?
- Odmah proverite lock fajlove svojih projekata i identifikujte da li ste koristili pogođene verzije paketa
- Rotatirajte sve cloud kredencijale i tokene dostupne iz okruženja gde se izvršavaju buildi
- Primenite konfiguraciju ignore-scripts da zaustavite automatske skripte pri instalaciji paketa
- Ažurirajte sve Red Hat pakete na verzije koje nisu na listi kompromitovanih
- Aktivirajte detaljno logovanje i monitoring u svim razvojnim okruženjima
Tehnički detalji
Napadači su pristupili ličnom GitHub nalogu Red Hat zaposlenog i koristili legalne OIDC tokene za automatizovanu prijavu na npm repozitorijum. Zlonamerni kod je distribuiran kroz legitimne SLSA provenance atestacije, čineći pakete verodostojnim za bezbednosne skenere. Malver nazvan Miasma deluje kao samosprerajući crv i kolektor kredencijala, baziran na Mini Shai-Hulud okviru koji je objavljena grupa TeamPCP objavila na BreachForums platformi. Preinstall skripte automatski traže Google Cloud, Azure, AWS kredencijale, SSH ključeve i tokene za AI alate kao što su Claude i Gemini. Malver potom pretražuje npm repozitorijum tražeći druge pakete koju može kompromitovati, omogućavajući daljnju propagaciju kroz razvojnu ekosistemu.
Preporuka Sajber Radara
Hitno proverite da li ste koristili Red Hat Cloud Services pakete iz npm-a i odmah rotatirajte sve pristupne kredencijale. Ova kompromitacija pokazuje koliko je kritično čuvati pristupe razvojnim platformama i primenjivati stroge mere kontrole pristupa čak i za lične naloge zaposlenih.