El alcance del ataque
Más de 30 paquetes npm bajo el espacio de nombres '@redhat-cloud-services' de Red Hat fueron comprometidos en un ataque a la cadena de suministro que distribuyó una nueva variante del malware de robo de credenciales Shai-Hulud, bautizada como "Miasma". Investigadores de seguridad de Aikido, OX Security y Wiz confirmaron la brecha, en la que se enviaron confirmaciones (commits) maliciosas directamente a los repositorios de Red Hat a través de la cuenta de GitHub de un empleado comprometido.
El alcance del impacto varía según el informe. Aikido estimó que los paquetes afectados reciben aproximadamente 117.000 descargas semanales, mientras que Wiz, propiedad de Google, reportó cerca de 80.000. Socket, una firma de seguridad en la cadena de suministro, identificó 95 versiones de paquetes comprometidas hasta las 11:00:22 UTC del 1 de junio de 2026, e instó a las organizaciones a asumir que han sido vulneradas y a rotar sus credenciales si han instalado alguna de las versiones infectadas.
Cómo operaba el malware
Según los investigadores de Wiz, los atacantes eludieron los procesos estándar de revisión de código al enviar "commits huérfanos maliciosos" a dos repositorios de RedHatInsights. Esta actividad ocurrió en dos oleadas distintas, utilizando el malware un gancho de preinstalación (preinstall hook) para ejecutar una carga útil oculta automáticamente durante el proceso de instalación de npm.
El análisis de Socket indica que la carga útil está diseñada para exfiltrar datos confidenciales, incluyendo secretos de GitHub Actions, tokens de npm, credenciales de la nube, material de Kubernetes y Vault, claves SSH y credenciales de Git. El malware ha sido identificado como una variante del gusano "Mini Shai-Hulud", cuyo código fue liberado recientemente por el grupo cibercriminal TeamPCP.
La respuesta de Red Hat
Red Hat confirmó la eliminación de los paquetes afectados tras el descubrimiento. "Red Hat está al tanto de los informes de seguridad relacionados con ciertos paquetes npm dentro de nuestro ecosistema de herramientas de desarrollo", declaró la compañía a BleepingComputer. "Iniciamos una investigación de inmediato y eliminamos los paquetes del registro npm".
Red Hat sostuvo que el daño se limitó a su entorno de desarrollo interno. "Los paquetes están estrictamente limitados al desarrollo interno y el código malicioso nunca se publicó para el consumo de los clientes a través del sistema console.redhat.com", afirmó la empresa. "Aunque nuestra investigación sigue en curso, no hemos identificado ningún impacto en los entornos de clientes o socios, ni en los sistemas de producción de Red Hat".
A pesar de estas garantías, Red Hat no reveló el método específico utilizado para comprometer la cuenta de GitHub del empleado. Los investigadores de seguridad continúan monitoreando la situación, y Wiz califica el incidente como una "amenaza activa" mientras sigue rastreando posibles nuevos desarrollos.
