An ninh mạng

Chiến dịch tấn công chuỗi cung ứng ‘Miasma’ lây nhiễm mã độc vào các gói npm của Red Hat

Một chiến dịch tấn công chuỗi cung ứng mới mang tên Miasma đã xâm nhập vào các gói npm của Red Hat, sử dụng mã độc tự lan truyền để đánh cắp thông tin xác thực và chiếm quyền điều khiển môi trường...

Nguyen Hung
2 Tháng 6, 2026 2 Min Read
4 0

Cộng đồng an ninh mạng vừa ghi nhận một chiến dịch tấn công chuỗi cung ứng tinh vi mang tên Miasma. Kẻ tấn công đã xâm nhập thành công vào nhiều gói npm thuộc phạm vi @redhat-cloud-services, nhằm mục đích đánh cắp thông tin nhạy cảm và phát tán mã độc dạng sâu (worm) trên máy tính của các lập trình viên.

Table Of Content

Phương thức tấn công nguy hiểm

Theo phân tích từ nhiều đơn vị bảo mật như Socket, Aikido, JFrog và Wiz, Miasma được xem là một biến thể của chiến dịch Mini Shai-Hulud. Mã độc sử dụng kỹ thuật thực thi ngay tại thời điểm cài đặt (install-time execution) để thu thập hàng loạt dữ liệu quan trọng, bao gồm: GitHub Actions secrets, npm tokens, thông tin đăng nhập cloud, khóa SSH, và các tệp cấu hình của Kubernetes/Vault.

Điểm đáng chú ý trong chiến dịch này là khả năng tự lan truyền và cơ chế né tránh. Mã độc được thiết kế để không thực thi trên các hệ thống sử dụng ngôn ngữ tiếng Nga và có khả năng kiểm tra sự hiện diện của các giải pháp EDR như CrowdStrike, SentinelOne hay Carbon Black trước khi bắt đầu hành vi độc hại.

Các gói npm bị ảnh hưởng

Danh sách các gói bị xâm nhập bao gồm:

  • @redhat-cloud-services/vulnerabilities-client
  • @redhat-cloud-services/tsc-transform-imports
  • @redhat-cloud-services/topological-inventory-client
  • @redhat-cloud-services/sources-client
  • @redhat-cloud-services/rule-components
  • @redhat-cloud-services/remediations-client
  • @redhat-cloud-services/rbac-client

Cơ chế duy trì và leo thang đặc quyền

Miasma không chỉ dừng lại ở việc đánh cắp thông tin. Nó thiết lập cơ chế duy trì (persistence) bằng cách tiêm các hook vào Anthropic Claude Code và VS Code. Ngoài ra, mã độc còn cố gắng leo thang đặc quyền bằng cách cấu hình lại CI runner để có quyền sudo không cần mật khẩu. Một điểm mới đáng lo ngại là sự tập trung vào việc thu thập danh tính cloud (GCP và Azure), cho thấy mục tiêu của kẻ tấn công đã mở rộng sang việc chiếm quyền kiểm soát hạ tầng cloud.

Khuyến nghị xử lý

Các chuyên gia cảnh báo rằng việc gỡ bỏ gói npm hoặc xóa thư mục node_modules là không đủ để làm sạch hệ thống. Người dùng cần thực hiện các bước sau:

  • Cách ly các máy chủ đã cài đặt các phiên bản bị ảnh hưởng.
  • Thay đổi toàn bộ các thông tin xác thực (credentials) đã bị lộ.
  • Kiểm tra các tệp cấu hình như ~/.claude/settings.json, .vscode/tasks.json và các workflow GitHub để tìm dấu vết của mã độc.
  • Đối với hệ thống CI/CD: Tạm dừng các workflow bị ảnh hưởng, hủy bỏ các build artifact được tạo trong thời gian xảy ra sự cố và rà soát lại toàn bộ quy trình phát hành phần mềm.

Hiện tại, bằng chứng cho thấy tài khoản GitHub của một nhân viên Red Hat đã bị xâm nhập, cho phép kẻ tấn công đẩy các commit độc hại vào kho lưu trữ mà không cần qua quy trình kiểm duyệt code (code review).

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept