慢霧：Red Hat 雲服務 npm 包遭活躍供應鏈攻擊，超 300 個 GitHub 倉庫中存在被盜憑證

ChainCatcher 消息，慢霧 SlowMist 發布安全警報，檢測到一起活躍的 npm 供應鏈攻擊，目標是 @redhat-cloud-services 相關軟體包。目前已確認 31+ 個包受影響，週下載量約 11.6 萬次，超過 300 個 GitHub 倉庫中存在被盜憑證。該攻擊手法與此前 "Shai-Hulud" npm 攻擊高度相似，包括憑證竊取、創建惡意倉庫及自動化秘密外洩。目前仍有新的可疑倉庫持續出現，表明攻擊仍在進行中，開發者仍在被持續感染。

潛在危害包括：GitHub/npm token 被盜、AWS/GCP/Azure 雲憑證洩露、SSH 密鑰和 Kubernetes 秘密收集、本地環境及錢包數據外洩、惡意倉庫創建及持久化操作，甚至在 token 被吊銷後可能引發破壞性行為。建議立即移除或降級受影響的 @redhat-cloud-services 包版本，全面審計 CI/CD 工作流和依賴安裝，輪換所有 GitHub、npm、雲服務、SSH 及錢包相關密鑰，保留日誌，並從乾淨鏡像重建已暴露的開發者機器或 Runner，同時保持高度警惕。