作念前端建造大致用Red Hat云办事的一又友，这条音尘必须看

安全公司Aikido在6月1日发现，Red Hat旗下 @redhat-cloud-services 定名空间下的npm包被东说念主动了动作，一共32个包、96个版块中招，每周下载量超越11万次

坏心代码若何进去的？

舛错者用了一个叫 Miasma 的坏心剧本，通过 preinstall 钩子塞进了包里。

什么真谛？便是你扩充 npm install 的技能，坏心代码在你的业务代码初始之前就照旧悄悄扩充了，并且莫得任何指示

Aikido说这个坏心代码跟之前出现过的 Mini Shai-Hulud 属于归并类，挑升偷证据的蠕虫。代码被高度污染，藏在 index.js 里，package.json 也被悔改，装配时自动触发。

它偷什么？

这波舛错的主义尽头明确——建造环境和CI/CD里的通盘敏锐证据：

GitHub Actions Token

AWS / GCP / Azure 证据

HashiCorp Vault Token

K8s service account token 和 kubeconfig

npm / PyPI 发布Token

SSH 私钥

Docker registry 证据

GPG 密钥

.env 文献

基本上你能思到的，它皆备要

这事为什么严重？

这些包不是用传统的永远npm token发布的，K8凯发官方网站而是通过 GitHub Actions OIDC 发布的。

Aikido分析以为，这诠释舛错者可能照旧拿下了CI/CD活水线，期骗受信任的发布通说念把坏心包推上去了。Red Hat我方也证据，初步拜谒炫夸是一个被攻破的GitHub账号把坏心代码塞进了Red Hat组织惊羡的包里。

Red Hat照旧发了安全公告 RHSB-2026-006，并从npm上震惊了通盘受影响版块。

⚠️ 受影响的包有哪些？

包括但不限于：

@redhat-cloud-services/chrome

@redhat-cloud-services/frontend-components

@redhat-cloud-services/insights-client

@redhat-cloud-services/rbac-client

@redhat-cloud-services/vulnerabilities-client

等等，都是Red Hat云办事的前端组件和客户端库。

但防备：这事跟Red Hat Enterprise Linux没揣度系，只影响npm包和关联的建造职责流。

刻下该作念什么？

Aikido的提议很径直：

淌若你在 2026年6月1日之后 装配过上述任何包，坐窝把CI密钥、云证据、SSH密钥、npm token一说念当作已涌现，随即轮流

另外还要查验：

依赖树和lockfile

CI日记

构建居品

惟有在CI runner、建造机大致构建系统上装过这些版块，就当环境照旧表示了。

Red Hat刻下说暂时不需要客户操作K8凯发中国官方网站，但拜谒还在进行中，后续公告可能会更新