B
今週中
Red HatのNPMパッケージ(@redhat-cloud-services)が、Shai-Huludの変種である「Miasma」によって汚染されたこと
📌 一言でいうと
Red HatのNPMパッケージ(@redhat-cloud-services)が、Shai-Huludの変種である「Miasma」によって汚染されたことが判明しました。攻撃者はGitHub Actions OIDCを悪用して悪意のあるパッケージを配布し、開発環境からGitHubトークンやクラウド認証情報を窃取します。影響範囲は30以上のパッケージに及び、CI/CDパイプラインの侵害が疑われています。
🔍該当判定
- 社内でJavaScript/TypeScriptの開発を行っており、npmを使用してパッケージを管理している
- 開発環境やCI/CDパイプラインで、Red Hatが提供するクラウドサービス関連のnpmパッケージ(@redhat-cloud-services)をインストールしている
- GitHub Actionsを利用して、自動的にプログラムのビルドやデプロイ(公開)を行う仕組みを構築している
- 開発者がGitHubの個人アカウントや組織アカウントの認証トークン(権限証)をPCやサーバーに保存して利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるパッケージバージョンの確認、GitHub/NPM/クラウドサービスの認証情報のローテーション、およびCI/CDパイプラインの変更履歴の監査を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Red Hat NPMパッケージにおけるサプライチェーン攻撃(Miasma)への対応について
お疲れさまです。Red HatのNPMパッケージにおける悪意のあるコードの混入に関する情報共有です。
■ 概要
Red Hatの「@redhat-cloud-services」スコープ下のパッケージが、Shai-Huludの変種「Miasma」によって汚染されました。GitHub Actions OIDCを悪用して配布されており、インストール時にGitHubトークンやクラウド認証情報を窃取し、外部へ送信します。
■ 影響範囲
- 対象製品: @redhat-cloud-services 名下のNPMパッケージ(約31〜32個のパッケージ、最大96バージョン)
■ 対応手順
1. 開発環境およびCI/CDパイプラインで上記スコープのパッケージを使用しているか確認し、最新の安全なバージョンへ更新してください。
2. 侵害の可能性がある場合、GitHub、NPM、およびクラウドサービスの認証情報(トークン・パスワード)を直ちにローテーションしてください。
3. GitHub Actions等の自動化ワークフローに不審な変更がないか監査してください。
■ 参考情報
- OX Security / Aikido 分析レポート
対応優先度: 高
対応期限: 直ちに確認
お疲れさまです。Red HatのNPMパッケージにおける悪意のあるコードの混入に関する情報共有です。
■ 概要
Red Hatの「@redhat-cloud-services」スコープ下のパッケージが、Shai-Huludの変種「Miasma」によって汚染されました。GitHub Actions OIDCを悪用して配布されており、インストール時にGitHubトークンやクラウド認証情報を窃取し、外部へ送信します。
■ 影響範囲
- 対象製品: @redhat-cloud-services 名下のNPMパッケージ(約31〜32個のパッケージ、最大96バージョン)
■ 対応手順
1. 開発環境およびCI/CDパイプラインで上記スコープのパッケージを使用しているか確認し、最新の安全なバージョンへ更新してください。
2. 侵害の可能性がある場合、GitHub、NPM、およびクラウドサービスの認証情報(トークン・パスワード)を直ちにローテーションしてください。
3. GitHub Actions等の自動化ワークフローに不審な変更がないか監査してください。
■ 参考情報
- OX Security / Aikido 分析レポート
対応優先度: 高
対応期限: 直ちに確認
Subject: [Alert] Supply Chain Attack on Red Hat NPM Packages (Miasma)
Dear IT/Security Team,
We are sharing information regarding a supply chain compromise affecting Red Hat's NPM packages.
■ Overview
Packages under the '@redhat-cloud-services' scope have been contaminated with 'Miasma', a variant of the Shai-Hulud malware. The attackers utilized GitHub Actions OIDC to distribute malicious versions that exfiltrate GitHub tokens and cloud credentials from developer environments.
■ Scope
- Affected Products: NPM packages under the @redhat-cloud-services scope (approx. 31-32 packages, up to 96 versions).
■ Action Plan
1. Audit development environments and CI/CD pipelines for the use of affected packages and update to verified safe versions.
2. Rotate all GitHub, NPM, and cloud service credentials/tokens if any affected versions were installed.
3. Review GitHub Actions workflows for unauthorized changes or suspicious scripts.
■ Reference
- Analysis by OX Security and Aikido
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain compromise affecting Red Hat's NPM packages.
■ Overview
Packages under the '@redhat-cloud-services' scope have been contaminated with 'Miasma', a variant of the Shai-Hulud malware. The attackers utilized GitHub Actions OIDC to distribute malicious versions that exfiltrate GitHub tokens and cloud credentials from developer environments.
■ Scope
- Affected Products: NPM packages under the @redhat-cloud-services scope (approx. 31-32 packages, up to 96 versions).
■ Action Plan
1. Audit development environments and CI/CD pipelines for the use of affected packages and update to verified safe versions.
2. Rotate all GitHub, NPM, and cloud service credentials/tokens if any affected versions were installed.
3. Review GitHub Actions workflows for unauthorized changes or suspicious scripts.
■ Reference
- Analysis by OX Security and Aikido
Priority: High
Deadline: Immediate