MistEye安全监控系统检测到@redhat-cloud-services组织下的32个npm包出现异常版本。分析了三个样本：@redhat-cloud-services/[email protected]、[email protected]和[email protected]。这些包是合法的，但包含通过npm的preinstall脚本触发的多层混淆恶意加载器。攻击链涉及数值数组与ROT/Caesar替换（位移值分别为10、4、11），解码后通过AES-128-GCM解密出Bun运行时引导器和核心恶意负载。负载能力包括GitHub Actions Runner内存读取、多云凭据窃取、GitHub API外泄、工作流注入、npm自我传播、通过Claude Code/VS Code/systemd/LaunchAgent持久化、绕过Harden-Runner/StepSecurity以及EDR检测。该恶意软件是Shai-Hulud家族的变种。潜在目标包括开发者工作站、CI/CD运行器、构建容器、GitHub仓库、Actions工作流、npm发布管道和云环境凭据。实际影响范围需通过安装日志和平台遥测进一步验证。

关键事实

• @redhat-cloud-services下32个npm包被植入恶意版本。
• 分析了三个样本：frontend-components-config、types、rule-components。
• 恶意加载器通过npm preinstall脚本触发，多层混淆。
• 功能包括凭据窃取、GitHub/npm传播、持久化。
• 恶意软件为Shai-Hulud变种，目标为开发者工作站和CI/CD。
• 实际影响范围需通过日志和遥测进一步验证。