adjust

SuaInternet.COM

Menu
Home / Blog / Red Hat NPM: Mais de 30 pacotes comprometidos com Worm que rouba credenciais

Tecnologia

Red Hat NPM: Mais de 30 pacotes comprometidos com Worm que rouba credenciais

person

Por SuaInternet.COM

2 de junho de 2026

Ataque de supply chain afeta ecossistema NPM da Red Hat

Um grave incidente de segurança foi detectado em 1º de junho de 2026: mais de 30 pacotes NPM oficiais do escopo @redhat-cloud-services foram comprometidos com um worm de roubo de credenciais. O ataque representa uma das mais recentes ameaças à cadeia de suprimentos de software e exige ação imediata de desenvolvedores e equipes de DevOps.

O que aconteceu?

Os pacotes comprometidos foram publicados através do GitHub Actions OIDC, indicando que a pipeline de CI/CD foi comprometida – e não apenas um token NPM. Isso significa que o ataque foi sofisticado o suficiente para infiltrar-se nos processos automatizados de build e publicação da Red Hat.

O malware embutido nas versões afetadas apresenta fortes semelhanças com o Mini Shai-Hulud, malware de supply chain recentemente open-sourced pelo grupo TeamPCP. Curiosamente, esta nova variante se autodenomina “Miasma” e substituiu as referências ao universo Dune (presentes no Shai-Hulud) por elementos da mitologia grega.

Como o ataque funciona

Cada pacote comprometido declara um script preinstall em seu arquivo package.json. Este script executa automaticamente o comando node index.js durante cada instalação via NPM – antes mesmo do código da aplicação rodar e antes que o desenvolvedor perceba que algo está errado.

O payload malicioso realiza uma varredura abrangente em busca de credenciais sensíveis em múltiplos ambientes:

Credenciais de CI/CD

  • Tokens do GitHub Actions (GITHUB_TOKEN e ACTIONS_RUNTIME_TOKEN)
  • Segredos de pipelines de integração contínua

Credenciais de nuvem

  • AWS: Chaves de acesso e tokens de sessão
  • Google Cloud Platform: Credenciais padrão de aplicação e arquivos de chave de conta de serviço
  • Azure: Credenciais de service principal e tokens de identidade gerenciada

Outras credenciais críticas

  • Tokens do HashiCorp Vault
  • Tokens de conta de serviço Kubernetes e arquivos kubeconfig
  • Tokens de publicação NPM e PyPI
  • Chaves privadas SSH
  • Credenciais de Docker Registry
  • Chaves GPG
  • Arquivos .env em todo o sistema de arquivos

Pacotes afetados

Se você instalou qualquer uma das versões listadas abaixo desde 1º de junho de 2026, trate todas as credenciais como comprometidas e realize a rotação imediatamente:

  • @redhat-cloud-services/chrome (2.3.1, 2.3.2)
  • @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
  • @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
  • @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
  • @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
  • @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
  • @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
  • @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
  • @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
  • @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
  • @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
  • @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
  • @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
  • @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
  • @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
  • @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
  • @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
  • @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
  • @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
  • @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
  • @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
  • @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
  • @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
  • @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
  • @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
  • @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
  • @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
  • @redhat-cloud-services/tsc-transform-imports (1.2.2)
  • @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
  • @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)

Ações imediatas recomendadas

Diante deste incidente de segurança, siga estes passos urgentemente:

  1. Verifique seus projetos: Identifique se algum dos pacotes afetados está sendo utilizado em suas aplicações
  2. Rotacione todas as credenciais: Trate tokens CI, credenciais de nuvem, chaves SSH e tokens NPM como comprometidos
  3. Atualize os pacotes: Remova as versões comprometidas e aguarde versões seguras oficiais
  4. Audite seus logs: Verifique atividades suspeitas em suas contas de nuvem e repositórios
  5. Revise suas pipelines: Implemente verificações de integridade em seus processos de CI/CD

Implicações para a segurança de supply chain

Este incidente destaca um padrão preocupante: desde que o código do Mini Shai-Hulud foi tornado público, outros atores de ameaça ganharam acesso às mesmas técnicas e podem replicá-las ou adaptá-las. A disponibilização de ferramentas de ataque sofisticadas democratiza capacidades maliciosas e aumenta exponencialmente o risco para todo o ecossistema de desenvolvimento.

O fato de o ataque ter ocorrido através da comprometimento da pipeline de CI/CD (via GitHub Actions OIDC) em vez de um simples token NPM demonstra que os invasores estão empregando táticas cada vez mais avançadas para contornar medidas de segurança tradicionais.

Como se proteger no futuro

Para mitigar riscos de ataques similares à cadeia de suprimentos:

  • Implemente pinning de versões exatas de dependências
  • Utilize ferramentas de análise de segurança de dependências (SAST/DAST)
  • Monitore ativamente o comportamento de scripts pré/pós instalação
  • Adote o princípio do menor privilégio em tokens e credenciais de CI/CD
  • Implemente assinatura e verificação de pacotes quando disponível
  • Mantenha auditoria contínua de acessos e alterações em pipelines

Atualização: A Red Hat ainda não se manifestou oficialmente sobre o tempo de resposta e medidas corretivas implementadas. Continuaremos monitorando este incidente em desenvolvimento.

Carlos Araújo

Carlos Araújo

Especialista em tecnologia e fundador da SuaInternet.COM. Com sólida experiência em desenvolvimento de software e inteligência artificial, dedica-se a criar soluções de alta performance e sites otimizados que conectam marcas a resultados. Entusiasta de sistemas Linux e automação, partilha aqui análises técnicas e tendências do ecossistema digital.

Tags:

#CI/CD#credenciais#DevOps#GitHub Actions#malware#Miasma#Mini Shai-Hulud#NPM#Red Hat#Red Hat NPM#Segurança#supply chain#Vulnerabilidade#worm

Artigos Relacionados