Red Hatのnpmパッケージ、新たなサプライチェーン攻撃で侵害される

Red Hatのnpmパッケージ、新たなサプライチェーン攻撃で侵害される

BleepingComputer – June 1, 2026

Red Hat社の「@redhat-cloud-services」ネームスペースに属する30件超のnpmパッケージが、新たなサプライチェーン攻撃で侵害されたとの報道。この攻撃は、Shai-Huludマルウェアの新たな亜種「Miasma」を配布するものだったという。

このインシデントを最初に発見したのは、セキュリティ企業AikidoおよびOX Security。両者は、数十のパッケージバージョンに、認証情報などを盗む性能を持つマルウェアが仕込まれているのを特定している。Aikidoによれば、侵害されたパッケージの週あたりのダウンロード数は合計117,000回ほどに上るとされる。

Red Hat自身も侵害を認めており、当該パッケージは削除済みだとコメント。侵害の影響は社内向け開発ツールに限定され、悪意のあるコードが「console.redhat.com」システムを通じて顧客に公開された事実は一切ないと述べた。また、現在も調査は継続中であるとしつつ、顧客やパートナーの環境、あるいはRed Hatの本番システムへの影響は確認されていないと伝えている。

Aikidoによれば、攻撃者はRed Hat従業員のGitHubアカウントを侵害し、そのアカウントを使って直接複数リポジトリへ悪意あるコミットをプッシュしたとされる。これらのコミットは、GitHub Actionsワークフローとスクリプトを追加。これらによって、npmの公開メカニズムを悪用してバックドア版パッケージがリリースされたという。

これらの侵害されたパッケージには悪意あるpreinstallスクリプトが含まれており、開発者が当該パッケージをインストールすると、このスクリプトにより自動的に悪意あるペイロード「index.js」が実行されるようになっていた。このおよそ4.2MBのペイロードは、以下の情報を盗み取る性能を有していたとされる。

• GitHub Actionsのシークレット
• AWS、Google Cloudの認証情報
• Azureサービスプリンシパルの認証情報
• HashiCorp Vaultのトークン
• Kubernetesのサービスアカウントトークン
• npm、PyPIの公開トークン
• SSH鍵
• Dockerの認証情報
• GPG鍵
• 「.env」ファイル

Aikidoは、32件のパッケージと96件のパッケージバージョンがこの侵害の影響を受け、これには「@redhat-cloud-services」ネームスペースで管理されている多数のクライアントライブラリも含まれていると伝えている。

研究者らによると、Red Hatの侵害で使われたこのマルウェアはMini Shai-Huludマルウェアと多数の共通点を有しているものの、侵害されたGitHubリポジトリに残されるコメントはMini Shai-Huludのものとは異なり「Miasma: The Spreading Blight」になっていたという。OX Securityは、MiasmaマルウェアにはMini Shai-Huludと同一の認証情報窃取機能が備わっているものの、難読化層が追加されたり多段階のペイロード配布メカニズムが使われるようになったりなど、変更点もあると指摘している。

Miasmaは脅威グループTeamPCPのMini Shai-Huludマルウェアと類似しているものの、今回の攻撃の首謀者がTeamPCPだったのか、または5月に公開されたShai-Huludマルウェアのソースコードを利用した別の攻撃者だったのかは不明だという。

BleepingComputerの記事が執筆された時点で、309件のGitHubリポジトリがMiasmaマルウェアキャンペーンにより侵害されていたとのこと。