Den 1 juni 2026 upptäckte säkerhetsforskare att 32 officiella paket under Red Hats npm-namnrymd @redhat-cloud-services hade infekterats med skadlig kod. Bakom attacken ligger en självspridande mask kallad Miasma, som aktiveras automatiskt när en utvecklare kör npm install.

Attacken genomfördes via ett kapat GitHub-konto hos en Red Hat-anställd. Därifrån pressades skadliga versioner av paketen ut till npm, totalt i över 90 versioner. Paketen laddas ner runt 80 000 gånger i veckan, vilket ger attacken en bred räckvidd.

Vad gör Miasma?

Masken körs via npm:s livscykelkrokar, specifikt i preinstall-steget, vilket innebär att den körs innan applikationskoden ens lästs in. Den letar sedan efter och stjäl:

• Inloggningsuppgifter för utvecklare
• Hemligheter i CI/CD-pipelines
• Åtkomstnycklar till molntjänster

Utöver stölden försöker Miasma sprida sig vidare genom att publicera om sig själv till andra npm-paket som det kapade kontot hade skrivrättigheter till. Det är den egenskapen som gör den till en mask snarare än vanlig skadlig kod.

Supply chain-attacker mot öppen källkod ökar

Attacken mot Red Hat är ett tydligt exempel på hur angripare i allt högre grad riktar in sig på mjukvaruförsörjningskedjan. Istället för att angripa ett enskilt företag direkt infiltrerar de verktyg och paket som används av tusentals organisationer.

Tidigare i år drabbades npm-ekosystemet av en liknande attack från Lazarus Group. Det mönstret fortsätter nu med Miasma, som tekniskt sett är mer sofistikerad tack vare sin självspridande förmåga.

Vad bör du göra nu?

Om du eller dina utvecklare använder paket under @redhat-cloud-services bör du agera omedelbart:

• Kontrollera vilka versioner av berörda paket som används och uppdatera till de senaste rengjorda versionerna
• Rotera alla hemligheter och åtkomstnycklar som kan ha exponerats i berörda miljöer
• Granska CI/CD-loggar efter misstänkt aktivitet kring installationstillfället
• Aktivera npm-attestering och signaturkontroll i din pipeline

Red Hat har bekräftat incidenten och publicerat rekommendationer. Microsoft Threat Intelligence och flera andra säkerhetsföretag har analyserat attacken i detalj.