حزم Red Hat npm التي تم اختراقها لنشر دودة سرقة بيانات الاعتماد
تقول Aikido Security أن أكثر من 30 حزمة npm رسمية من @redhat-cloud-services قد تم اختراقها باستخدام فيروس متنقل لسرقة بيانات الاعتماد يسمى “Miasma”، وهو متغير يشبه البرنامج الخبيث Mini Shai-Hulud مفتوح المصدر لسلسلة التوريد. يقول التقرير: “تم نشر الحزم عبر GitHub Actions OIDC، مما يشير إلى تعرض خط أنابيب CI/CD للاختراق بدلاً من رمز npm المميز”. “إذا قمت بتثبيت أي إصدارات حزمة متأثرة منذ 1 يونيو 2026، فتعامل مع جميع أسرار CI وبيانات الاعتماد السحابية ومفاتيح SSH ورموز npm باعتبارها مخترقة وقم بتدويرها على الفور.” من التقرير: تعلن كل حزمة مخترقة عن برنامج نصي للتثبيت المسبق في package.json الخاص بها والذي ينفذ العقدة Index.js تلقائيًا عند كل تثبيت npm، قبل تشغيل أي رمز تطبيق وقبل أن يكون لدى المطور أي إشارة إلى وجود خطأ ما. ملف Index.js عبارة عن حمولة بحجم 4.2 ميجابايت مخفية خلف طبقات متعددة من التشويش. كما هو الحال مع هجمات Mini Shai-Hulud السابقة، تقوم الحمولة بإجراء عملية مسح واسعة النطاق لبيانات الاعتماد عبر موفري الخدمات السحابية، وبيئات CI/CD، وأدوات المطورين. من ناحية CI، فهو يستهدف أسرار إجراءات GitHub بما في ذلك GITHUB_TOKEN وACTIONS_RUNTIME_TOKEN. بالنسبة لبيانات الاعتماد السحابية، فإنه يجمع مفاتيح وصول AWS والرموز المميزة للجلسة، وبيانات الاعتماد الافتراضية لتطبيق GCP وملفات مفتاح حساب الخدمة، وبيانات اعتماد خدمة Azure الرئيسية ورموز الهوية المميزة المُدارة. كما أنه يبحث أيضًا عن رموز HashiCorp Vault، والرموز المميزة لحساب خدمة Kubernetes وملفات kubeconfig، ورموز نشر npm وPyPI، ومفاتيح SSH الخاصة، وبيانات اعتماد تسجيل Docker، ومفاتيح GPG، وأي ملفات .env يمكن العثور عليها عبر نظام الملفات.
تم النشر: 2026-06-01 18:00:00
مصدر: it.slashdot.org
