SlowMist|2026年06月04日 09:12
✍️ 发布技术分析:红帽云服务npm包供应链中毒
MistEye检测到@redhat云服务组织下的多个npm包(共32个包和96个版本)被植入了多层混淆恶意加载器,该加载器在安装过程中通过预安装钩子自动触发。
经过全面重建,核心有效载荷被确认为Shai Hulud恶意软件家族的变体,具有广泛的高级功能,包括:
GitHub Actions Runner内存读取
多云和本地凭证收集
GitHub API exfiltering和dead-drop通信
GitHub工作流注入
npm自传播
通过Claude Code/VS Code/systemd/LaunchAgent实现持久性
Harden Runner/StepSecurity规避
EDR/安全产品检测
我们对以下三个样本进行了全面的去雾和能力重建:
•@redhat云服务/frontend-components-config@6.11.3
•@redhat云服务/types@3.6.1
•@redhat云服务/rule-components@4.7.2
该报告提供了完整的多阶段攻击链的详细分解,从外部ROT+AES-GCM层到多个混淆阶段,再到最终的有效载荷执行。
全面技术分析:
https://media.com/@slowmist/threat-itelligence-reved-hat-cloud-services-npm-pack供应链管理-3636786dabfd
分享至:
脈絡
熱門快訊
APP下載
X
Telegram
複製鏈接