Cadena de suministro comprometida en paquetes npm de Red Hat

Numerosos paquetes npm del espacio de nombres @redhat-cloud-services han sido comprometidos en el marco de una campaña con el nombre en clave Miasma. Según investigadores de Socket, Wiz, JFrog y otras empresas, el código malicioso se inyectó a través de un hook preinstall ofuscado y está orientado al robo de secretos de GitHub Actions, tokens de npm, credenciales cloud, claves SSH, materiales de Kubernetes y Vault desde las máquinas de los desarrolladores. El malware presenta características de worm auto-replicante, capaz de contaminar la cadena de suministro de software en etapas posteriores. Las organizaciones que usen los paquetes afectados deben aislar de inmediato los hosts comprometidos y rotar todas las credenciales que pudieran haberse visto expuestas.

Paquetes afectados y mecanismo de ataque

Según se informa, se han visto comprometidos los siguientes paquetes:

• @redhat-cloud-services/vulnerabilities-client
• @redhat-cloud-services/tsc-transform-imports
• @redhat-cloud-services/topological-inventory-client
• @redhat-cloud-services/sources-client
• @redhat-cloud-services/rule-components
• @redhat-cloud-services/remediations-client
• @redhat-cloud-services/rbac-client

La campaña se clasifica como una variante de Mini Shai-Hulud, una serie de ataques a la cadena de suministro que se basan en la ejecución de código durante la instalación del paquete, la recopilación de credenciales, la compromisión de pipelines de CI/CD, la exfiltración cifrada y la propagación hacia dependencias de nivel inferior. La atribución de la campaña por el momento no está establecida.

Detalles técnicos del comportamiento malicioso

Recopilación y exfiltración de datos

El hook preinstall malicioso recopila un amplio espectro de secretos: tokens de GitHub Actions, tokens de npm, credenciales cloud, materiales de Kubernetes y HashiCorp Vault, claves SSH y configuraciones de Git. Según Wiz, en esta variante se han añadido nuevos recolectores orientados a identificadores cloud de GCP y Azure, lo que apunta a un cambio de foco de los atacantes hacia la obtención de acceso a la infraestructura cloud como tal, y no solo a extraer secretos de ella.

Los datos cifrados se envían a la dirección api.anthropic.com:443/v1/api, y como canal de exfiltración de respaldo se utilizan repositorios públicos de GitHub con la descripción «Miasma: The Spreading Blight». Según SafeDep, en el entorno npm el malware invoca endpoints de intercambio de tokens OIDC y whoami, vuelve a empaquetar el archivo tarball (package-updated.tgz) y firma el artefacto mediante Sigstore, dándole apariencia de legitimidad.

Un detalle característico: al realizar un commit a través de la API de GitHub, el mensaje puede contener la cadena IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner:<token>, aparentemente un elemento de ingeniería social destinado a disuadir a los administradores de revocar los tokens comprometidos.

Propagación a través de CI/CD

El malware enumera los repositorios de GitHub sobre los que el token robado tiene permisos de escritura, lee los archivos action.yml/action.yaml mediante GraphQL y crea un commit de flujo de trabajo a través de la mutación createCommitOnBranch. El resultado se presenta como un cambio verificado y firmado, lo que dificulta considerablemente su detección durante la revisión de código.

Evasión de detección y elevación de privilegios

Antes de ejecutar sus principales acciones maliciosas, el malware comprueba la presencia de soluciones de protección de endpoints como CrowdStrike, SentinelOne, Carbon Black y StepSecurity Harden-Runner. Para elevar privilegios, intenta lanzar un contenedor montando el directorio del host /etc/sudoers.d, lo que otorga al runner de CI acceso sudo sin contraseña.

Se destaca además que el malware no se ejecuta en sistemas con configuración regional en ruso, un patrón observado anteriormente en las campañas de GlassWorm.

Mecanismos de persistencia

El malware se aferra a las herramientas de desarrollo de dos maneras:

• Inyección de un hook SessionStart en la configuración de Anthropic Claude Code (~/.claude/settings.json)
• Adición de una tarea en .vscode/tasks.json con el parámetro "runOn": "folderOpen" para proyectos de Visual Studio Code, lo que garantiza su ejecución automática cada vez que se abre la carpeta del proyecto

Además, presumiblemente cada infección genera una carga útil cifrada de forma única, lo que complica considerablemente la detección basada en firmas y el seguimiento de las distintas versiones del malware.

Cronología y contexto

Según OX Security, el primer commit con la cadena «Miasma: The Spreading Blight» data del 29 de mayo de 2026, lo que indica o bien la fecha de inicio de la fase activa de la campaña, o bien el periodo de pruebas de la infraestructura por parte del atacante. El incidente ha sido confirmado por numerosos equipos de investigación independientes, entre ellos Aikido Security, StepSecurity y Microsoft Threat Intelligence. Sin embargo, en el momento de la publicación no existe un informe oficial de incidente por parte de Red Hat.

Evaluación del impacto

Los paquetes del espacio de nombres @redhat-cloud-services se utilizan ampliamente en el ecosistema de Red Hat Insights, la plataforma de monitorización y gestión de infraestructura de Red Hat Enterprise Linux. La compromisión afecta principalmente a:

• Equipos de desarrollo que trabajen con servicios cloud de Red Hat y usen estos paquetes como dependencias
• Pipelines de CI/CD, en los que la instalación de paquetes comprometidos conlleva la filtración de secretos y la posible infección de los artefactos de compilación
• Infraestructura cloud de organizaciones cuyos identificadores de GCP, Azure y AWS pudieran haber sido robados

El carácter auto-replicante del malware implica que un único entorno de desarrollo comprometido puede convertirse en punto de entrada para la infección de numerosos repositorios y artefactos de niveles inferiores.

Recomendaciones de respuesta

La simple eliminación del paquete npm o del directorio node_modulesno es una medida de limpieza suficiente, ya que el malware incluye mecanismos de ejecución en segundo plano y persistencia en las herramientas del desarrollador.

1. Aislar todos los hosts en los que se hayan instalado las versiones afectadas de los paquetes
2. Rotar todas las credenciales potencialmente expuestas: tokens de npm, tokens de GitHub, claves SSH, credenciales cloud, secretos de Kubernetes y Vault
3. Comprobar la presencia de artefactos de persistencia en los archivos:
   • ~/.claude/settings.json
   • .vscode/tasks.json
   • .github/workflows/codeql.yml
   • .github/setup.js
4. Auditar la actividad de GitHub en busca de commits sospechosos, especialmente aquellos firmados mediante createCommitOnBranch, así como publicaciones en npm durante el periodo de exposición
5. Para CI/CD: pausar los flujos de trabajo afectados, invalidar todos los artefactos de compilación creados durante el periodo de exposición y revisar cada imagen de contenedor, paquete npm y artefacto de despliegue publicado tras la instalación del paquete malicioso
6. Reforzar el control de acceso: implantar la revisión obligatoria para cambios en los workflows de GitHub Actions y limitar los permisos de los tokens siguiendo el principio de privilegios mínimos

La campaña Miasma demuestra un modelo de ataque maduro contra la cadena de suministro, que combina robo de secretos, abuso de la confianza en artefactos firmados y propagación automática a través de CI/CD. Las organizaciones que utilicen cualquier paquete del espacio @redhat-cloud-services deben auditar de inmediato sus dependencias, llevar a cabo una rotación completa de secretos y revisar todos los artefactos de compilación generados desde finales de mayo de 2026, hasta que Red Hat publique una confirmación oficial de que la amenaza ha sido completamente erradicada.