Blog

Red Hat: dezenas de pacotes npm oficiais com Miasma roubam tokens

Escrito por Luiz Claudio | 03/06/2026 17:20:49
Cibersegurança

Red Hat npm com Miasma: entenda o risco

Malware em pacotes @redhat-cloud-services mira tokens GitHub e credenciais cloud durante instalações.

Navegacao

Contexto do ataque Como o roubo ocorre Sinais de alerta O que fazer agora Checklist pratico

Resumo rapido

Dezenas de pacotes npm oficiais da Red Hat, no escopo @redhat-cloud-services, foram comprometidos em um ataque de cadeia de suprimentos. O malware identificado é o Miasma, variante do Mini Shai-Hulud, com foco em roubar credenciais GitHub, tokens e chaves de ambientes AWS, GCP e Azure durante instalações.

Neste artigo voce vai aprender:

  • O que caracteriza um ataque de cadeia de suprimentos em pacotes npm.
  • Por que o escopo @redhat-cloud-services amplia o impacto do incidente.
  • Quais credenciais o Miasma tem como alvo declarado.
  • Quais sinais monitorar em ambientes de desenvolvimento e pipelines.
  • Quais medidas tomar imediatamente para conter a exposição.

O que aconteceu com os pacotes @redhat-cloud-services

O incidente envolve dezenas de pacotes npm oficiais da Red Hat, publicados sob o escopo @redhat-cloud-services. O npm é o repositório de pacotes mais utilizado por desenvolvedores JavaScript e Node.js — componentes dali são consumidos diariamente em projetos corporativos, pipelines de CI/CD e ferramentas internas. Quando um desses pacotes é comprometido, o ataque chega embalado em algo que a equipe já confia.

O malware identificado é o Miasma, descrito como variante do Mini Shai-Hulud. Seu objetivo declarado é capturar credenciais GitHub, tokens técnicos e chaves de acesso aos ambientes AWS, GCP e Azure durante o processo de instalação. A combinação — nome confiável, momento silencioso da instalação e alvos de alto valor — torna este caso particularmente crítico para times de engenharia e segurança.

Como o Miasma rouba credenciais durante o npm install

O ponto de exploração é a instalação em si. Pacotes npm podem declarar scripts que executam automaticamente durante o npm install — e é exatamente aí que o Miasma atua. Antes que qualquer desenvolvedor perceba, o código malicioso já varreu o ambiente em busca de tokens e chaves disponíveis.

Na prática, isso afeta máquinas de desenvolvimento, servidores de build e pipelines de integração contínua. O impacto é proporcional às permissões disponíveis no momento da instalação: quanto mais amplo o acesso do token GitHub ou da credencial AWS, GCP ou Azure presente no ambiente, maior o raio de danos de uma eventual exfiltração.

Sinais de alerta para equipes que usam esses pacotes

Times que instalaram pacotes do escopo @redhat-cloud-services devem tratar este alerta como prioridade imediata. Alguns indicadores merecem atenção especial:

  • Instalações recentes de pacotes npm vinculados a @redhat-cloud-services em qualquer ambiente.
  • Tokens GitHub ativos em máquinas ou pipelines onde essas instalações ocorreram.
  • Credenciais AWS, GCP ou Azure expostas em variáveis de ambiente, arquivos .env ou configurações de pipeline.
  • Instalações executadas em ambientes com acesso amplo a repositórios ou infraestrutura cloud.
  • Comportamento inesperado em repositórios GitHub ou contas cloud após atualização de dependências.

Resposta imediata: o que fazer agora

A prioridade é tratar como comprometidos todos os tokens e credenciais que estavam disponíveis nos ambientes onde esses pacotes foram instalados. Não aguarde confirmação de vazamento para agir — o custo de revogar e recriar um token é infinitamente menor do que remediar um acesso não autorizado em produção.

  • Revogue e gere novamente todos os tokens GitHub usados em máquinas ou pipelines afetados.
  • Rotacione credenciais AWS, GCP e Azure associadas aos ambientes de build e desenvolvimento.
  • Remova credenciais de arquivos locais, .env versionados e variáveis desnecessárias em pipelines.
  • Aplique princípio de menor privilégio: tokens de CI/CD não devem ter acesso irrestrito a repositórios ou contas cloud.
  • Registre quais pacotes foram instalados, em quais ambientes e por quais usuários ou processos.

Checklist pratico

  1. Mapeie todos os projetos que declaram dependências npm do escopo @redhat-cloud-services.
  2. Liste máquinas, servidores e pipelines onde instalações npm ocorreram recentemente.
  3. Revogue e recrie tokens GitHub, AWS, GCP e Azure presentes nesses ambientes.
  4. Remova credenciais de arquivos locais e variáveis desnecessárias em builds.
  5. Revise permissões para garantir acesso mínimo ao necessário em cada token ou chave.
  6. Monitore uso anormal em repositórios GitHub, contas AWS, GCP e Azure nas próximas semanas.

Perguntas frequentes

O que é o Miasma?

É o malware identificado neste incidente, descrito como variante do Mini Shai-Hulud. Neste contexto, atua durante instalações npm para capturar credenciais GitHub e tokens de ambientes AWS, GCP e Azure disponíveis no ambiente de instalação.

Quem deve se preocupar?

Empresas e desenvolvedores que instalaram pacotes npm do escopo @redhat-cloud-services, especialmente em ambientes que concentram tokens GitHub ou credenciais de AWS, GCP e Azure com permissões amplas.

Trocar senhas resolve?

Não totalmente. Os alvos principais são tokens e credenciais técnicas, não senhas de usuário. A ação mais efetiva é revogar e recriar esses acessos, revisar permissões e auditar os ambientes onde as instalações ocorreram.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua equipe a identificar dependências de risco, revisar exposição de tokens e fortalecer controles em ambientes de desenvolvimento e cloud.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
Visualizar publicação completa