Serangan Rantai Pasok: 30+ Paket npm Red Hat Disusupi Malware Pencuri Kredensial “Miasma”
Dunia pengembangan perangkat lunak kembali diguncang oleh serangan rantai pasok (supply-chain attack) tingkat tinggi. Lebih dari 30 paket npm di bawah ruang nama (namespace) resmi Red Hat, @redhat-cloud-services, dikonfirmasi telah disusupi oleh varian malware pencuri kredensial baru bernama “Miasma”.
Insiden kritis ini pertama kali dibongkar oleh firma keamanan siber Aikido dan OX Security. Mereka menemukan puluhan versi paket telah ditanamkan pintu belakang (backdoor) yang dirancang khusus untuk memanen data sensitif para pengembang (developers) dengan angka unduhan mencapai 117.000 kali setiap minggunya.
Kronologi Serangan: Pembajakan Akun GitHub Karyawan
Berdasarkan analisis forensik dari Aikido, serangan ini bermula dari kompromi pada lapis keamanan personal, bukan akibat jebolnya server pusat npm:
[Alur Injeksi Rantai Pasok Malware Miasma]
Akun GitHub Karyawan Red Hat Dibajak Peretas
│
▼ [Mengirimkan Komit Malisius Langsung ke Repositori]
Menyisipkan Alur Kerja GitHub Actions & Skrip Publikasi Otomatis
│
▼ [Penyalahgunaan Izin "id-token: write"]
Meminta Token OIDC Jangka Pendek untuk Bypass Autentikasi npm
│
▼ [Trusted Publishing Endpoint]
[ PAKET TERCEMAR: 32 Paket npm @redhat-cloud-services Berhasil Dipublikasikan ]
Penyerang mengeksploitasi fitur Trusted Publishing pada npm dengan memanfaatkan izin id-token: write dari alur kerja GitHub Actions yang korup. Menggunakan runtime Bun, skrip index.js malisius secara otomatis memublikasikan versi backdoor dari paket-paket Red Hat langsung ke registri publik tanpa perlu memasukkan kata sandi atau token statis tradisional.
Mekanisme Eksekusi: Skrip preinstall Berukuran 4,2 MB
Ketika pengembang atau sistem CI/CD mengunduh dan memasang paket @redhat-cloud-services yang terinfeksi, sasis skrip npm akan memicu perintah otomatis:
JSON
"scripts": {
"preinstall": "node index.js"
}
Skrip preinstall ini langsung mengeksekusi file index.js berukuran 4,2 MB yang telah disamarkan secara pekat (heavily obfuscated). Sirkuit pencurian data pada malware Miasma akan memindai seluruh direktori penyimpanan komputer korban untuk menguras:
- Kredensial Penyedia Cloud (AWS, Google Cloud, Azure Service Principal)
- Rahasia GitHub Actions & Token HashiCorp Vault
- Token Akses Kubernetes Service Account
- Token Publikasi Registri (npm dan PyPI)
- Kunci SSH, Kunci GPG, serta seluruh file konfigurasi lingkungan
.env
Pernyataan Resmi Red Hat: Terbatas pada Alat Pengembangan Internal
Dalam rilis resminya, Red Hat membenarkan adanya insiden tersebut dan langsung mengambil tindakan tegas dengan menarik seluruh paket terinfeksi dari registri npm.
Konsumsi Konsol Aman: “Paket-paket ini secara ketat terbatas untuk perkakas pengembangan internal, dan kode malisius tersebut tidak pernah dipublikasikan untuk konsumsi pelanggan melalui sistem
console.redhat.com. Investigasi kami masih berjalan, namun kami belum mengidentifikasi adanya dampak pada lingkungan pelanggan, mitra, ataupun sistem produksi Red Hat,” jelas perwakilan Red Hat.
Meskipun sistem produksi diklaim aman, Aikido mencatat ada 32 paket dan 96 versi paket yang sempat tercemar sebelum berhasil dihapus.
Miasma: Evolusi dari Bocoran Kode “Shai-Hulud”
Para peneliti siber mengonfirmasi bahwa Miasma merupakan varian mutasi terbaru dari keluarga malware pencuri kredensial Shai-Hulud. Beberapa bulan terakhir, kerangka kerja (framework) malware ini telah menyerang proyek-proyek raksasa dunia seperti Bitwarden, SAP, Mistral, TanStack, OpenAI, dan GitHub.
[Silsilah Mutasi Famili Malware Shai-Hulud]
Mini Shai-Hulud (Source Code Bocor oleh TeamPCP Mei 2026)
│
▼ [Modifikasi Lapisan Obfuskasi & Delivery Sistem]
MALWARE MIASMA: Meninggalkan Jejak String "Miasma: The Spreading Blight"
Pada Mei 2026 kemarin, kelompok peretas TeamPCP membocorkan kode sumber Mini Shai-Hulud ke publik. Kode bocoran inilah yang dimodifikasi oleh aktor siber menjadi Miasma dengan menambahkan lapisan obfuskasi berlapis, mekanisme pengiriman multi-tahap, serta kemampuan pemanenan kredensial yang lebih agresif. Hingga saat ini, tercatat sudah ada 309 repositori GitHub yang lumpuh terinfeksi oleh kampanye Miasma.
Tindakan Mitigasi Darurat
Bagi organisasi atau tim pengembang yang sempat mengunduh paket @redhat-cloud-services dalam rentang waktu serangan, langkah-langkah berikut wajib segera dieksekusi:
- Rotasi Kredensial Massal: Lakukan rotasi (credential rotation) instan pada seluruh token AWS, Azure, GCP, npm, PyPI, dan kunci SSH yang tersimpan pada mesin atau sasis peladen CI/CD yang terinfeksi.
- Audit Komit Repositori: Periksa riwayat komit pada repositori GitHub Anda dan cari apakah ada komentar atau string aneh bertuliskan “Miasma: The Spreading Blight”.
- Bersihkan Cache Paket: Jalankan perintah pembersihan cache lokal untuk memastikan versi paket yang korup tidak terpasang kembali di kemudian hari.
Sumber: Laporan Keamanan Aikido & OX Security
