C
月内に
レッドハットのクラウドサービスに関連する悪意のあるnpmパッケージが配布され、開発環境を標的としたサプライチェーン攻撃
📌 一言でいうと
レッドハットのクラウドサービスに関連する悪意のあるnpmパッケージが配布され、開発環境を標的としたサプライチェーン攻撃が確認されました。この攻撃は「ミアズマ (Miasma)」と呼ばれる「ミニ・シャイフルード」系のワームであり、インストール時に自動的に実行され、GitHubトークンやクラウド認証情報、SSHキーなどを窃取します。さらに、窃取した権限を利用してGitHubリポジトリを操作し、さらなる感染拡大を試みる高度な機能を持っています。
🔍該当判定
- Red Hat(レッドハット)社が提供するクラウドサービス関連のnpmパッケージを開発で利用している
- GitHub ActionsなどのCI/CD環境で、npmパッケージの自動インストール・ビルドを行っている
- AWS、Azure、Google Cloudなどのクラウド環境を、開発者のPCから直接操作・管理している
- Kubernetes(クバネティス)やHashiCorp Vaultなどの認証情報を、開発用PC内に保存している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 信頼できないnpmパッケージのインストールを禁止し、公式または検証済みのパッケージのみを使用すること。 2. CI/CD環境および開発PCにおけるシークレット(APIキー、トークン)の管理を厳格化し、最小権限の原則を適用すること。 3. GitHub等のリポジトリにおける不審なコミットやワークフロー変更がないか監査すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Red Hat関連npmパッケージを悪用したサプライチェーン攻撃(Miasma)について
お疲れさまです。Red Hat関連のnpmパッケージを介した悪性コード感染に関する情報共有です。
■ 概要
「Miasma」と呼ばれるワームがnpmリポジトリに配布されており、インストール時に自動的に実行されます。GitHubトークン、クラウド認証情報(AWS/Azure/GCP)、SSHキー、Kubernetes設定などを窃取し、さらにGitHub APIを通じてリポジトリを操作し感染を拡大させる挙動が確認されています。
■ 影響範囲
- Red Hat クラウドサービス関連のnpmパッケージを利用している開発環境およびCI/CDパイプライン
■ 対応手順
1. 開発チームに対し、不審なnpmパッケージのインストールを避けるよう周知し、依存関係の整合性を確認すること。
2. GitHub Actions等のシークレットおよびクラウド認証情報の漏洩がないかログを確認し、必要に応じてトークンのローテーションを実施すること。
3. リポジトリ内のワークフローファイル(.github/workflows)に意図しない変更が加えられていないか監査すること。
■ 参考情報
- Socket, Wiz, Microsoft 等の共同分析レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Red Hat関連のnpmパッケージを介した悪性コード感染に関する情報共有です。
■ 概要
「Miasma」と呼ばれるワームがnpmリポジトリに配布されており、インストール時に自動的に実行されます。GitHubトークン、クラウド認証情報(AWS/Azure/GCP)、SSHキー、Kubernetes設定などを窃取し、さらにGitHub APIを通じてリポジトリを操作し感染を拡大させる挙動が確認されています。
■ 影響範囲
- Red Hat クラウドサービス関連のnpmパッケージを利用している開発環境およびCI/CDパイプライン
■ 対応手順
1. 開発チームに対し、不審なnpmパッケージのインストールを避けるよう周知し、依存関係の整合性を確認すること。
2. GitHub Actions等のシークレットおよびクラウド認証情報の漏洩がないかログを確認し、必要に応じてトークンのローテーションを実施すること。
3. リポジトリ内のワークフローファイル(.github/workflows)に意図しない変更が加えられていないか監査すること。
■ 参考情報
- Socket, Wiz, Microsoft 等の共同分析レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Alert] Supply Chain Attack via Red Hat-related npm Packages (Miasma)
Dear IT/Security Team,
We are sharing information regarding a supply chain attack utilizing malicious npm packages related to Red Hat cloud services.
■ Overview
A worm named 'Miasma' (part of the Mini Shai-Hulud family) has been detected in the npm registry. Upon installation, it automatically executes scripts to steal GitHub tokens, cloud credentials (AWS, Azure, GCP), SSH keys, and Kubernetes configurations. It further attempts to propagate by manipulating GitHub repositories and workflows using stolen credentials.
■ Scope
- Development environments and CI/CD pipelines utilizing Red Hat cloud service-related npm packages.
■ Action Plan
1. Instruct development teams to avoid installing untrusted npm packages and verify dependency integrity.
2. Audit logs for potential leakage of secrets and cloud credentials; rotate tokens if compromise is suspected.
3. Review GitHub workflow files (.github/workflows) for unauthorized modifications.
■ Reference
- Joint analysis by Socket, Wiz, Microsoft, and other security firms.
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack utilizing malicious npm packages related to Red Hat cloud services.
■ Overview
A worm named 'Miasma' (part of the Mini Shai-Hulud family) has been detected in the npm registry. Upon installation, it automatically executes scripts to steal GitHub tokens, cloud credentials (AWS, Azure, GCP), SSH keys, and Kubernetes configurations. It further attempts to propagate by manipulating GitHub repositories and workflows using stolen credentials.
■ Scope
- Development environments and CI/CD pipelines utilizing Red Hat cloud service-related npm packages.
■ Action Plan
1. Instruct development teams to avoid installing untrusted npm packages and verify dependency integrity.
2. Audit logs for potential leakage of secrets and cloud credentials; rotate tokens if compromise is suspected.
3. Review GitHub workflow files (.github/workflows) for unauthorized modifications.
■ Reference
- Joint analysis by Socket, Wiz, Microsoft, and other security firms.
Priority: High
Deadline: Immediate