慢雾：Red Hat 云服务包遭 npm 供应链攻击，影响超 300 个 GitHub 仓库

6 月 2 日消息，据慢雾监测，发现针对 Red Hat 云服务包的活跃 npm 供应链攻击。报告显示，受影响包超过 31 个，周下载量约 11.6 万次，超过 300 个 GitHub 仓库包含被盗凭证。攻击技术与之前的 Shai-Hulud npm 攻击活动高度相似，包括凭证收集、恶意仓库创建和自动化密钥外泄。按“Miasma: The Spreading Blight”标记搜索 GitHub 并按最近更新排序，仍可看到新出现的可疑仓库，表明用户仍在持续被入侵。 潜在攻击者行为包括 GitHub 和 npm Token 窃取、AWS 及 GCP 和 Azure 凭证窃取、SSH 密钥和 Kubernetes 密钥收集、本地环境和钱包数据外泄、恶意 GitHub 仓库创建、持久化驻留以及在令牌被撤销时的破坏性行为。慢雾建议立即移除或降级受影响版本，审计 CI/CD 流水线和依赖安装，轮换相关密钥和凭证，保留日志，并从干净镜像重建暴露的开发机或运行环境。