米兰milan(中国)体育官方网站 Red Hat npm包遭投毒! 96个版块被供应链袭击浸透

作念前端种植粗略用Red Hat云就业的一又友，这条音问必须看

安全公司Aikido在6月1日发现，Red Hat旗下 @redhat-cloud-services 定名空间下的npm包被东谈主动了看成，一共32个包、96个版块中招，每周下载量卓绝11万次

坏心代码怎样进去的？

袭击者用了一个叫 Miasma 的坏心剧本，通过 preinstall 钩子塞进了包里。

什么意象？等于你奉行 npm install 的技术，坏心代码在你的业务代码脱手之前就仍是暗暗奉行了，并且莫得任何教导

Aikido说这个坏心代码跟之前出现过的 Mini Shai-Hulud 属于归拢类，专诚偷证据的蠕虫。代码被高度污染，藏在 index.js 里，package.json 也被自新，装置时自动触发。

它偷什么？

这波袭击的缠绵十分明确——种植环境和CI/CD里的扫数明锐证据：

GitHub Actions Token

AWS / GCP / Azure 证据

HashiCorp Vault Token

K8s service account token 和 kubeconfig

npm / PyPI 发布Token

SSH 私钥

Docker registry 证据

GPG 密钥

.env 文献

基本上你能猜测的，它透顶要

这事为什么严重？

这些包不是用传统的恒久npm token发布的，米兰体育而是通过 GitHub Actions OIDC 发布的。

Aikido分析以为，这阐述袭击者可能仍是拿下了CI/CD活水线，应用受信任的发布通谈把坏心包推上去了。Red Hat我方也证据，初步打听炫夸是一个被攻破的GitHub账号把坏心代码塞进了Red Hat组织珍爱的包里。

Red Hat仍是发了安全公告 RHSB-2026-006，并从npm上战栗了扫数受影响版块。

⚠️ 受影响的包有哪些？

包括但不限于：

@redhat-cloud-services/chrome

@redhat-cloud-services/frontend-components

@redhat-cloud-services/insights-client

@redhat-cloud-services/rbac-client

@redhat-cloud-services/vulnerabilities-client

等等，王人是Red Hat云就业的前端组件和客户端库。

但介怀：这事跟Red Hat Enterprise Linux没相干系，只影响npm包和相干的种植使命流。

刻下该作念什么？

Aikido的提议很平直：

如若你在 2026年6月1日之后 装置过上述任何包，坐窝把CI密钥、云证据、SSH密钥、npm token沿途当作已泄露，立时交替

另外还要搜检：

依赖树和lockfile

CI日记

构建居品

唯有在CI runner、种植机粗略构建系统上装过这些版块，就当环境仍是深刻了。

Red Hat刻下说暂时不需要客户操作米兰milan(中国)体育官方网站，但打听还在进行中，后续公告可能会更新