Дослідники з кібербезпеки зафіксували масштабну атаку на ланцюжок постачання програмного забезпечення, яка безпосередньо зачепила екосистему компанії Red Hat. Невідомі зловмисники зуміли скомпрометувати понад 30 офіційних JavaScript-бібліотек у публічному репозиторії npm, що публікувалися під офіційним ідентифікатором “redhat-cloud-services”. Шкідлива кампанія, яка отримала кодову назву Miasma, використовує модифіковану версію хробака Mini Shai-Hulud, чий вихідний код нещодавно був повністю викладений у відкритий доступ угрупованням TeamPCP. Технічний механізм зараження базується на інтеграції прихованого скрипту автоматичного запуску у файли конфігурації пакетів. Це призводить до того, що шкідливий код обсягом 4.2 мегабайти починає виконуватися на комп’ютері розробника одразу в момент запуска стандартної команди встановлення компонентів, ще до того, як почне працювати легітимне програмне забезпечення.

Хронологічний аналіз інциденту вказує на те, що початковою точкою зламу стала компрометація особистого облікового запису одного зі співробітників Red Hat на платформі GitHub. Хакери використали цей доступ для надсилання спеціальних ізольованих оновлений коду у два репозиторії проекту RedHatInsights, повністю оминувши процедуру обов’язкового рецензування та перевірки коду колегами. Далі за допомогою автоматизованих інструментів зловмисники згенерували унікальні зашифровані модулі для кожної окремої жертви, що ускладнює їхнє виявлення антивірусними системами. Головним наслідком атаки є масове викрадення конфіденційних даних розробників: вірус збирає ключі доступу до хмарних платформ AWS, GCP та Azure, секрети інструментів GitHub Actions, токени автентифікації Kubernetes, а також криптографічні SSH-ключі. Зібрана інформація автоматично надсилається у створені хакерами публічні репозиторії з текстовим описом серії інцидентів.