Red Hat npm com Miasma: entenda o risco
Malware em pacotes @redhat-cloud-services mira tokens GitHub e credenciais cloud durante instalações.
Resumo rapido
Dezenas de pacotes npm oficiais da Red Hat, no escopo @redhat-cloud-services, foram comprometidos em um ataque de cadeia de suprimentos. O malware identificado é o Miasma, variante do Mini Shai-Hulud, com foco em roubar credenciais GitHub, tokens e chaves de ambientes AWS, GCP e Azure durante instalações.
Neste artigo voce vai aprender:
- O que caracteriza um ataque de cadeia de suprimentos em pacotes npm.
- Por que o escopo @redhat-cloud-services amplia o impacto do incidente.
- Quais credenciais o Miasma tem como alvo declarado.
- Quais sinais monitorar em ambientes de desenvolvimento e pipelines.
- Quais medidas tomar imediatamente para conter a exposição.
O que aconteceu com os pacotes @redhat-cloud-services
O incidente envolve dezenas de pacotes npm oficiais da Red Hat, publicados sob o escopo @redhat-cloud-services. O npm é o repositório de pacotes mais utilizado por desenvolvedores JavaScript e Node.js — componentes dali são consumidos diariamente em projetos corporativos, pipelines de CI/CD e ferramentas internas. Quando um desses pacotes é comprometido, o ataque chega embalado em algo que a equipe já confia.
O malware identificado é o Miasma, descrito como variante do Mini Shai-Hulud. Seu objetivo declarado é capturar credenciais GitHub, tokens técnicos e chaves de acesso aos ambientes AWS, GCP e Azure durante o processo de instalação. A combinação — nome confiável, momento silencioso da instalação e alvos de alto valor — torna este caso particularmente crítico para times de engenharia e segurança.
Como o Miasma rouba credenciais durante o npm install
O ponto de exploração é a instalação em si. Pacotes npm podem declarar scripts que executam automaticamente durante o npm install — e é exatamente aí que o Miasma atua. Antes que qualquer desenvolvedor perceba, o código malicioso já varreu o ambiente em busca de tokens e chaves disponíveis.
Na prática, isso afeta máquinas de desenvolvimento, servidores de build e pipelines de integração contínua. O impacto é proporcional às permissões disponíveis no momento da instalação: quanto mais amplo o acesso do token GitHub ou da credencial AWS, GCP ou Azure presente no ambiente, maior o raio de danos de uma eventual exfiltração.
Sinais de alerta para equipes que usam esses pacotes
Times que instalaram pacotes do escopo @redhat-cloud-services devem tratar este alerta como prioridade imediata. Alguns indicadores merecem atenção especial:
- Instalações recentes de pacotes npm vinculados a @redhat-cloud-services em qualquer ambiente.
- Tokens GitHub ativos em máquinas ou pipelines onde essas instalações ocorreram.
- Credenciais AWS, GCP ou Azure expostas em variáveis de ambiente, arquivos
.envou configurações de pipeline. - Instalações executadas em ambientes com acesso amplo a repositórios ou infraestrutura cloud.
- Comportamento inesperado em repositórios GitHub ou contas cloud após atualização de dependências.
Resposta imediata: o que fazer agora
A prioridade é tratar como comprometidos todos os tokens e credenciais que estavam disponíveis nos ambientes onde esses pacotes foram instalados. Não aguarde confirmação de vazamento para agir — o custo de revogar e recriar um token é infinitamente menor do que remediar um acesso não autorizado em produção.
- Revogue e gere novamente todos os tokens GitHub usados em máquinas ou pipelines afetados.
- Rotacione credenciais AWS, GCP e Azure associadas aos ambientes de build e desenvolvimento.
- Remova credenciais de arquivos locais,
.envversionados e variáveis desnecessárias em pipelines. - Aplique princípio de menor privilégio: tokens de CI/CD não devem ter acesso irrestrito a repositórios ou contas cloud.
- Registre quais pacotes foram instalados, em quais ambientes e por quais usuários ou processos.
Checklist pratico
- Mapeie todos os projetos que declaram dependências npm do escopo @redhat-cloud-services.
- Liste máquinas, servidores e pipelines onde instalações npm ocorreram recentemente.
- Revogue e recrie tokens GitHub, AWS, GCP e Azure presentes nesses ambientes.
- Remova credenciais de arquivos locais e variáveis desnecessárias em builds.
- Revise permissões para garantir acesso mínimo ao necessário em cada token ou chave.
- Monitore uso anormal em repositórios GitHub, contas AWS, GCP e Azure nas próximas semanas.
Perguntas frequentes
O que é o Miasma?
É o malware identificado neste incidente, descrito como variante do Mini Shai-Hulud. Neste contexto, atua durante instalações npm para capturar credenciais GitHub e tokens de ambientes AWS, GCP e Azure disponíveis no ambiente de instalação.
Quem deve se preocupar?
Empresas e desenvolvedores que instalaram pacotes npm do escopo @redhat-cloud-services, especialmente em ambientes que concentram tokens GitHub ou credenciais de AWS, GCP e Azure com permissões amplas.
Trocar senhas resolve?
Não totalmente. Os alvos principais são tokens e credenciais técnicas, não senhas de usuário. A ação mais efetiva é revogar e recriar esses acessos, revisar permissões e auditar os ambientes onde as instalações ocorreram.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua equipe a identificar dependências de risco, revisar exposição de tokens e fortalecer controles em ambientes de desenvolvimento e cloud.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Compartilhe nas redes sociais:
