セキュリティ各社は 6 月 1 日、npm の @redhat-cloud-services スコープで公開されている 32 パッケージ・96 バージョンに認証情報窃取ワーム「Miasma」が混入していたと報告しました。「Mini Shai-Hulud」系列の新派生で、開発機と CI/CD 環境を同時に狙う設計です。
主なポイント
- 改竄パッケージの合計週間ダウンロードは約 11 万 7,000 件。
preinstallフックで 4.2MB の難読化ペイロードが自動実行される - 公開経路は GitHub Actions の OIDC トークン悪用で、開発者個人アカウントではなく CI パイプライン側が攻撃された
- 収集対象は GitHub / npm / AWS / GCP / Azure / Kubernetes / HashiCorp Vault / CircleCI のシークレット。新変種では GCP・Azure のクラウド ID 収集機能が強化されている
- Linux では
kitty-monitor.service、macOS ではcom.user.kitty-monitor.plistを常駐させ、リモート指示をポーリング。盗難 GitHub トークンが取り消されるとホームディレクトリ破壊コマンドを発火する - Claude / Codex / Gemini / Copilot などの AI 開発ツールへフックを差し込む機構も含み、被害は開発者の AI ワークフローにも及ぶ
出典: Miasma Supply Chain Attack Compromises Red Hat npm Packages with Credential-Stealing Worm