SlowMist
SlowMist|2026年06月04日 09:12
✍️ 发布技术分析:红帽云服务npm包供应链中毒 MistEye检测到@redhat云服务组织下的多个npm包(共32个包和96个版本)被植入了多层混淆恶意加载器,该加载器在安装过程中通过预安装钩子自动触发。 经过全面重建,核心有效载荷被确认为Shai Hulud恶意软件家族的变体,具有广泛的高级功能,包括: GitHub Actions Runner内存读取 多云和本地凭证收集 GitHub API exfiltering和dead-drop通信 GitHub工作流注入 npm自传播 通过Claude Code/VS Code/systemd/LaunchAgent实现持久性 Harden Runner/StepSecurity规避 EDR/安全产品检测 我们对以下三个样本进行了全面的去雾和能力重建: •@redhat云服务/frontend-components-config@6.11.3 •@redhat云服务/types@3.6.1 •@redhat云服务/rule-components@4.7.2 该报告提供了完整的多阶段攻击链的详细分解,从外部ROT+AES-GCM层到多个混淆阶段,再到最终的有效载荷执行。 全面技术分析: https://media.com/@slowmist/threat-itelligence-reved-hat-cloud-services-npm-pack供应链管理-3636786dabfd
+4
曾提及
分享至:

脉络

热门快讯

APP下载

X

Telegram

Facebook

Reddit

复制链接

热门阅读