Następna iteracja powstała. Nie wiadomo, czy to TeamPCP — bo teraz może to być każdy.
W Radarze #2 z 31 maja postawiliśmy projekcję na czerwiec: „następna iteracja kampanii supply chain — Glassworm zamknięto, ale narzędzia są publiczne. Spodziewaj się nowej infrastruktury." Pewność oznaczyliśmy jako średnia-wysoka, uzasadnienie: wzorzec historyczny.
1 czerwca — pierwszego dnia miesiąca — w namespace @redhat-cloud-services na npm pojawiło się 96 złośliwych wersji w 32 pakietach. Ładunek: wariant Shai-Huluda. Sygnatura w opisie repozytoriów dead-drop na GitHubie: „Miasma: The Spreading Blight".
Ale najważniejszy jest nie sam atak. Najważniejsze jest to, czego o nim nie wiadomo — i dlaczego ta niewiedza jest dokładnie tym, co przewidzieliśmy.
Nie typosquatting — przejęcie zaufanego namespace
Najpierw co się stało, bo to nie jest drobna kampania.
To nie jest kampania typosquattingu. Pakiety należą do legalnego namespace i zostały nadużyte jako zaufane wektory dostarczenia. @redhat-cloud-services to oficjalny scope Red Hata — frontend, klienty API, narzędzia deweloperskie. Według Aikido skompromitowane pakiety mają około 117 000 pobrań tygodniowo. Cyber PressStepsecurity
Mechanizm jest podręcznikowym Shai-Huludem. Każdy tarball zawiera 4,1 MB zaciemnionego pliku JavaScript dodanego do package.json jako hook preinstall. Hook uruchamia wieloetapowy loader kończący się credential stealerem wykonywanym przez Bun, uderzającym w AWS, Azure, GCP, HashiCorp Vault, Kubernetes, GitHub Actions OIDC, npm, Bitwarden i 1Password. Faza preinstall odpala się, zanim jakikolwiek kod zależności zostanie uruchomiony — zanim aplikacja cokolwiek zaimportuje. SOCRadar
Jeden szczegół wektora wejścia jest istotny. Pakiety zostały opublikowane przez GitHub Actions OIDC, co wskazuje, że skompromitowany został potok CI/CD, a nie token npm. To jest dokładnie ten wzorzec, który opisywaliśmy przy TanStack — atak na pipeline, nie na pojedyncze poświadczenie. The Hacker News
Szczegół, który jest sednem: nie wiadomo, kto to zrobił
Tu jest rzecz, która odróżnia Miasmę od wszystkiego, co opisywaliśmy w maju.
Przy TeamPCP, TanStack, GitHub breach — atrybucja była możliwa. Wzorzec, infrastruktura, sygnatury prowadziły do konkretnej grupy. Przy Miasmie atrybucja jest niemożliwa — i to nie przez przypadek.
The Hacker News ujmuje to precyzyjnie: kto dokładnie stoi za tą aktywnością, jest obecnie nieznane, ponieważ TeamPCP open-source'owało narzędzia ataku powiązane z robakiem Shai-Hulud, otwierając drzwi innym aktorom do przeprowadzenia podobnych ataków i czyniąc definitywną atrybucję trudniejszą. The Hacker News
Pisaliśmy 20 maja, że TeamPCP opublikowało kod źródłowy Shai-Huluda na GitHubie pod licencją MIT — i że „następna grupa, która chce powtórzyć tę kampanię, ma instrukcję obsługi". Miasma jest pierwszym potwierdzeniem tej tezy. Ktoś wziął publiczny kod, przerobił go i uruchomił.
Sygnaturą tej przeróbki jest mitologia. Obserwowane modyfikacje są w dużej mierze kosmetyczne — odniesienia do uniwersum Diuny zastąpiono motywami mitologii greckiej (np. „spartan"), podczas gdy fundamentalna funkcjonalność i rzemiosło pozostają zasadniczo podobne. Shai-Hulud to czerw z Diuny. Miasma to grecka zaraza. Ta sama maszyna, inny kostium — i ten kostium jest jedynym sposobem, by powiedzieć, że to ktoś inny niż oryginalny autor. Cyber Security News
Socket opisuje to wprost: to jest efektywnie kampania Mini Shai-Hulud — używa tych samych podstawowych taktyk: wykonania przy instalacji, zbierania poświadczeń, celowania w CI/CD, szyfrowanej eksfiltracji i potencjalnej propagacji downstream. Mechanika TeamPCP. Autor nieznany. The Hacker News
Co Miasma dodała od siebie
Choć przeróbki są „w dużej mierze kosmetyczne", jedna zmiana jest merytoryczna i warta odnotowania — bo pokazuje kierunek, w którym ta klasa malware ewoluuje.
Jedną z głównych zmian w tym wariancie jest dodanie nowych kolektorów danych skupionych na tożsamościach chmurowych. Konkretnie dodano kolektory tożsamości GCP i Azure, które zbierają wszystkie tożsamości, do których zainfekowana maszyna ma dostęp. Podczas gdy poprzednie wersje malware skupiały się głównie na wydobywaniu sekretów z tych środowisk, ten wariant sugeruje zwiększone skupienie atakującego na zdobyciu i wykorzystaniu dostępu do samej chmury. Cyber Security News
To jest subtelna, ale ważna zmiana celu. Poprzednie warianty kradły sekrety — klucze, tokeny, hasła. Miasma mapuje tożsamości — kim zainfekowana maszyna może być w chmurze. To jest przesunięcie z „ukradnij to, co leży" na „zrozum, do czego masz dostęp" — rekonesans tożsamości chmurowej jako przygotowanie do głębszego ruchu. Ten sam kierunek, który opisywaliśmy przy Entra Agent ID — tożsamość jako prawdziwy cel, nie poświadczenie.
Ironia, której nie sposób pominąć
Pięć dni temu opisywaliśmy Project Lightwell — IBM i Red Hat ogłaszają pięć miliardów dolarów na bezpieczeństwo łańcucha dostaw open source. Industrialna fabryka łatek, 20 000 inżynierów, pilotaż z największymi bankami świata.
1 czerwca oficjalny namespace npm Red Hata zostaje przejęty i użyty do dystrybucji credential stealera.
To nie jest sprzeczność, którą warto przekuwać w złośliwość — @redhat-cloud-services to wewnętrzne narzędzia deweloperskie, a Red Hat usunął pakiety po wykryciu i oświadczył, że kompromitacja była ograniczona do wewnętrznego oprogramowania deweloperskiego. Ale jest to ilustracja problemu, który Lightwell ma rozwiązać, dostarczona przez firmę, która Lightwell ogłosiła — w tym samym tygodniu. Łańcuch dostaw jako infrastruktura nie oszczędza nikogo, kto z niego korzysta, nawet jeśli akurat ogłasza miliardy na jego naprawę.
Skala, która rośnie w czasie rzeczywistym
W momencie analiz liczby już się zmieniały. W chwili pisania 309 repozytoriów GitHub zostało skompromitowanych przez kampanię Miasma. Pierwsze zainfekowane repozytorium pojawiło się 29 maja — co wskazuje albo na logikę testową aktora, albo na wcześniejszą infekcję rozprzestrzeniającą się przed atakiem na @redhat-cloud-services. StepsecurityH2S Media
Robak się propaguje. Eksfiltracja używa GitHub GraphQL API przez skradzione tokeny, a robak może samodzielnie się propagować, republikując złośliwe wersje pakietów npm przy użyciu npm Trusted Publishing OIDC. To znaczy, że 309 repozytoriów z momentu analizy to nie jest liczba końcowa — to jest migawka rozprzestrzeniania w toku. SecurityWeek
Co zrobić
Jeśli zainstalowałeś którąkolwiek z dotkniętych wersji pakietów od 1 czerwca 2026, potraktuj wszystkie sekrety CI, poświadczenia chmurowe, klucze SSH i tokeny npm jako skompromitowane i natychmiast je rotuj. The Hacker News
Sprawdzenie lockfile: przeszukaj package-lock.json pod kątem wpisów @redhat-cloud-services/* i porównaj rozwiązane wersje z listą dotkniętych wersji śledzoną pod identyfikatorem MSC-2026-6085.
Wysokopewny wskaźnik kompromitacji na maszynie: obecność binarki bun pod nieznaną ścieżką w katalogu tymczasowym systemu (na przykład /tmp/b-<losowe>/bun na Linuksie lub /var/folders/<…>/b-<losowe>/bun na macOS), albo plik pasujący do /tmp/p<base36>.js. Oba artefakty są usuwane po udanym wykonaniu, ale mogą pozostać po awarii. SOCRadar
Projekcja, która się sprawdza — drugi raz w tym tygodniu
Trzy dni temu Mythos rozszerzył się z 50 do 200 organizacji — projekcja z Radaru numer jeden. Dziś Miasma — projekcja numer dwa: następna iteracja supply chain powstała, i to dokładnie w przewidziany sposób.
Ale jest różnica między tymi dwiema projekcjami, która jest ważniejsza niż sam fakt, że się sprawdziły. Mythos rośnie w sposób kontrolowany — Anthropic decyduje, kto dostaje dostęp. Miasma rośnie w sposób niekontrolowany — bo TeamPCP oddało narzędzia wszystkim, i teraz nie da się powiedzieć, kto za danym atakiem stoi.
To jest cena open-source'owania broni. Nie jedna następna kampania od znanej grupy — ale nieokreślona liczba kampanii od nieznanych aktorów, każda używająca tej samej sprawdzonej mechaniki, każda podpisana innym kostiumem mitologicznym. Diuna, potem Grecja, potem cokolwiek następne. Atrybucja, która przez cały maj była trudna, od czerwca staje się strukturalnie niemożliwa.
Źródła
Aikido Security — pierwotne wykrycie z osią czasu i liczbami (96 wersji, 32 pakiety): https://www.aikido.dev/blog/red-hat-npm-packages-compromised-credential-stealing-worm
Wiz Research — analiza ładunku i nowych kolektorów tożsamości chmurowej: https://www.wiz.io/blog/miasma-supply-chain-attack-targeting-redhat-npm-packages
Mend — analiza techniczna wieloetapowego loadera i wskaźniki kompromitacji: https://www.mend.io/blog/redhat-cloud-services-packages-drop-multi-cloud-credential-stealer/
The Hacker News — kontekst atrybucji i open-source'owania narzędzi przez TeamPCP: https://thehackernews.com/2026/06/miasma-supply-chain-attack-compromises.html
BleepingComputer — oświadczenie Red Hata i liczba 309 skompromitowanych repozytoriów: https://www.bleepingcomputer.com/news/security/red-hat-npm-packages-compromised-to-steal-developer-credentials/
JFrog Security Research — analiza próbki @redhat-cloud-services/types 3.6.1: https://research.jfrog.com/post/shai-hulud-miasma-redhat-cloud-services/
OX Security — pierwsza infekcja 29 maja i analiza wariantu: https://www.ox.security/blog/new-npm-supply-chain-attack-redhat-cloud-services-compromised/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł