作念前端种植大要用Red Hat云做事的一又友,这条音问必须看
安全公司Aikido在6月1日发现,Red Hat旗下 @redhat-cloud-services 定名空间下的npm包被东说念主动了看成,一共32个包、96个版块中招,每周下载量跳动11万次
坏心代码若何进去的?
袭击者用了一个叫 Miasma 的坏心剧本,通过 preinstall 钩子塞进了包里。
什么原理?即是你实行 npm install 的时辰,坏心代码在你的业务代码运转之前就照旧悄悄实行了,况且莫得任何辅导
Aikido说这个坏心代码跟之前出现过的 Mini Shai-Hulud 属于归拢类,挑升偷把柄的蠕虫。代码被高度欺侮,藏在 index.js 里,package.json 也被悔改,装置时自动触发。
它偷什么?
这波袭击的方针十分明确——种植环境和CI/CD里的整个敏锐把柄:
GitHub Actions Token
AWS / GCP / Azure 把柄
HashiCorp Vault Token
K8s service account token 和 kubeconfig
npm / PyPI 发布Token
SSH 私钥
Docker registry 把柄
GPG 密钥
.env 文献
BET365体育官方网站基本上你能念念到的,它完全要
这事为什么严重?
这些包不是用传统的遥远npm token发布的,kaiyun开云中国2026世界杯官网入口而是通过 GitHub Actions OIDC 发布的。
Aikido分析觉得,这证明袭击者可能照旧拿下了CI/CD活水线,诳骗受信任的发布通说念把坏心包推上去了。Red Hat我方也阐发,初步探访自满是一个被攻破的GitHub账号把坏心代码塞进了Red Hat组织爱戴的包里。
Red Hat照旧发了安全公告 RHSB-2026-006,并从npm上除去了整个受影响版块。
⚠️ 受影响的包有哪些?
包括但不限于:
@redhat-cloud-services/chrome
@redhat-cloud-services/frontend-components
@redhat-cloud-services/insights-client
@redhat-cloud-services/rbac-client
@redhat-cloud-services/vulnerabilities-client
等等,齐是Red Hat云做事的前端组件和客户端库。
但可贵:这事跟Red Hat Enterprise Linux没相相干,只影响npm包和相干的种植责任流。
当今该作念什么?
Aikido的漠视很凯旋:
如若你在 2026年6月1日之后 装置过上述任何包,坐窝把CI密钥、云把柄、SSH密钥、npm token一齐当作已暴露,立时瓜代
另外还要查验:
依赖树和lockfile
CI日记
构建居品
惟有在CI runner、种植机大要构建系统上装过这些版块,就当环境照旧表示了。
Red Hat刻下说暂时不需要客户操作kaiyun(中国)2026世界杯官方网站,但探访还在进行中,后续公告可能会更新