ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

3 ข่าว

Miasma Worm เจาะบัญชี GitHub Red Hat — ปนเปื้อน 32 แพ็กเกจ npm ดาวน์โหลด 117,000 ครั้ง/สัปดาห์ ขโมย AWS, Azure, GCP Token

Miasma malware Red Hat npm packages GitHub account supply chain attack
แฮ็กเกอร์เจาะบัญชี GitHub ของพนักงาน Red Hat และใช้ OIDC token ปล่อยมัลแวร์ Miasma เข้าสู่ 32 แพ็กเกจ npm ใน namespace @redhat-cloud-services ซึ่งมียอดดาวน์โหลดสูงถึง 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น worm แพร่ตัวเองโดยขโมย cloud token ของ AWS, Azure, GCP รวมถึง API key ของ Claude และ Gemini นักพัฒนาที่ใช้แพ็กเกจเหล่านี้ต้องตรวจสอบ lockfile และ rotate credentials ด่วน

Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง

binding.gyp Phantom Gyp supply chain attack compromises dozens of npm packages
บริษัท StepSecurity เปิดเผยเวิร์มแพร่ตัวเองสายพันธุ์ใหม่ของ Miasma ตั้งชื่อเทคนิคว่า Phantom Gyp ที่ใช้ไฟล์ตั้งค่าเล็ก ๆ ชื่อ binding.gyp (157 ไบต์) กระตุ้นโค้ดอันตรายตอน npm install แทนการซ่อนใน package.json เลี่ยง preinstall/postinstall ที่ scanner ส่วนใหญ่ตรวจ เจาะ 57 แพ็กเกจ 286+ เวอร์ชันใน 2 ชั่วโมงเมื่อ 3 มิ.ย. เป้าใหญ่สุดคือ @vapi-ai/server-sdk (408,000 ดาวน์โหลด/เดือน) ขโมย credential คลาวด์ใน CI/CD ฝัง backdoor ใน Claude Code/Cursor/Gemini ทิ้งข้อความเย้ย Shai-Hulud

Miasma — Supply Chain Attack โจมตี npm ของ Red Hat ขโมย credentials จาก CI/CD pipeline

Miasma supply chain attack compromises Red Hat npm packages with credential-stealing worm
แคมเปญ supply chain attack ชื่อ Miasma โจมตี npm packages ในกลุ่ม @redhat-cloud-services จำนวน 32 packages กว่า 96 เวอร์ชัน ซึ่งมียอดดาวน์โหลดรวมกันกว่า 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น variant ใหม่ของ Mini Shai-Hulud worm ที่แพร่กระจายตัวเองโดยขโมย credentials จาก developer machine และ CI/CD pipeline ผู้โจมตีเจาะเข้าระบบผ่าน GitHub Actions OIDC token ของพนักงาน Red Hat ทำให้ commit ที่อันตรายปรากฏเป็น verified และ signed เสมือนถูกกฎหมาย