Miasma: Red Hat confirma comprometimento de 32 pacotes npm em novo ataque à cadeia de suprimentos de software

Um novo ataque coloca a Red Hat no centro das atenções

Menos de um mês após o ataque Mini Shai-Hulud comprometer pacotes do ecossistema TanStack e atingir empresas ligadas ao setor de inteligência artificial, um novo incidente volta a preocupar desenvolvedores e especialistas em segurança. Desta vez, a Red Hat confirmou o comprometimento de dezenas de pacotes npm utilizados em seu ecossistema interno de desenvolvimento.

A descoberta foi realizada por pesquisadores da Aikido Security em 1º de junho de 2026. Segundo os relatórios divulgados, 96 versões distribuídas em 32 módulos npm foram contaminadas por um malware denominado Miasma: The Spreading Blight, considerado uma variante evoluída das técnicas observadas na campanha Mini Shai-Hulud.

Os pacotes afetados somavam aproximadamente 116.991 downloads semanais, tornando o incidente relevante para toda a comunidade JavaScript.

Como o ataque aconteceu

As investigações apontam que o ponto inicial do incidente foi o comprometimento da conta GitHub de um funcionário da Red Hat.

A partir desse acesso, os invasores utilizaram os mecanismos de automação existentes nos pipelines CI/CD para publicar versões contaminadas dos pacotes. Assim como ocorreu em outros ataques recentes, não houve roubo direto de credenciais npm. Em vez disso, os criminosos exploraram o processo de publicação automatizada baseado em GitHub Actions e autenticação OIDC.

Esse padrão reforça uma tendência observada ao longo de 2026: atacantes estão direcionando seus esforços para a infraestrutura de desenvolvimento, explorando workflows automatizados e cadeias de distribuição de software.

Os pacotes comprometidos

A Red Hat e os pesquisadores de segurança divulgaram os principais módulos identificados durante a investigação.

Entre os pacotes comprometidos estão:

@redhat-cloud-services/chrome (versões 2.3.1 e 2.3.2)

@redhat-cloud-services/frontend-components (versões 7.7.2 e 7.7.3)

@redhat-cloud-services/frontend-components-config (versões 6.11.3 e 6.11.4)

@redhat-cloud-services/insights-client (versões 4.0.4 e 4.0.5)

@redhat-cloud-services/rbac-client (versões 9.0.3 e 9.0.4)

@redhat-cloud-services/vulnerabilities-client (versões 2.1.8 e 2.1.9)

Segundo os relatórios técnicos, o comprometimento total atingiu 32 módulos e 96 versões distribuídas através do npm.

Embora a lista completa seja maior, esses estão entre os pacotes mais relevantes identificados até o momento pelas equipes de investigação.

O que fazia o malware Miasma

O malware Miasma foi desenvolvido para atuar como um backdoor especializado em coleta de credenciais e propagação automatizada.

Após sua execução, o código procurava informações sensíveis armazenadas no ambiente de desenvolvimento, incluindo credenciais de provedores de nuvem, tokens de autenticação, segredos utilizados em pipelines CI/CD e chaves SSH.

Os pesquisadores também identificaram capacidades de autopropagação semelhantes às observadas no Mini Shai-Hulud. Isso permitia que o malware tentasse alcançar outros projetos relacionados ao mesmo ambiente de desenvolvimento comprometido.

Essa combinação entre roubo de credenciais e propagação automática é uma das características que mais preocupam especialistas em segurança.

A posição oficial da Red Hat

Em comunicado oficial, a Red Hat afirmou que os pacotes afetados eram utilizados exclusivamente para desenvolvimento interno e não faziam parte dos produtos distribuídos aos clientes por meio do portal console.redhat.com.

A empresa declarou que, até o momento, não encontrou evidências de impacto em ambientes de clientes, parceiros comerciais ou sistemas de produção.

Apesar disso, a recomendação oficial é que qualquer usuário que tenha instalado versões comprometidas trate suas credenciais como potencialmente expostas e realize procedimentos de segurança apropriados.

A investigação permanece em andamento.

Miasma e Mini Shai-Hulud: duas campanhas, o mesmo alerta

Embora os dois ataques tenham utilizado técnicas diferentes para obter acesso inicial, ambos demonstram uma realidade preocupante para o ecossistema open source.

No caso do Mini Shai-Hulud, os invasores exploraram workflows relacionados a pull requests para comprometer pacotes do TanStack. Já no caso do Miasma, o vetor inicial foi uma conta GitHub comprometida.

Apesar das diferenças, os dois incidentes compartilham um elemento central: a exploração da cadeia de desenvolvimento moderna baseada em automação, integração contínua e publicação automatizada.

Os ataques mostram que a segurança não depende apenas da proteção do código-fonte, mas também da proteção de toda a infraestrutura responsável por construir, testar e distribuir software.

O crescimento dos ataques de supply chain

Especialistas apontam que ataques de cadeia de suprimentos se tornaram uma das principais ameaças da indústria de software.

Nos últimos anos, incidentes envolvendo npm, PyPI, bibliotecas JavaScript, sistemas de build e projetos open source demonstraram que comprometer uma dependência pode permitir acesso indireto a milhares de organizações simultaneamente.

Esse modelo oferece escala muito maior para criminosos e transforma mantenedores, pipelines CI/CD e repositórios públicos em alvos estratégicos.

O caso Miasma reforça essa tendência e mostra que empresas de infraestrutura também estão se tornando alvos frequentes dessas campanhas.

O impacto para desenvolvedores e empresas

Mesmo sem evidências de impacto direto aos clientes da Red Hat, o incidente reforça a necessidade de revisar continuamente práticas de segurança relacionadas ao desenvolvimento de software.

Empresas estão investindo cada vez mais em proteção de pipelines, auditoria de dependências, monitoramento de artefatos, autenticação forte e validação de publicações automatizadas.

Para desenvolvedores, o episódio serve como lembrete de que a segurança moderna vai muito além do código escrito diariamente. Dependências, workflows, pipelines e sistemas de distribuição passaram a fazer parte da superfície de ataque.

O futuro da segurança na cadeia de software

Os casos Mini Shai-Hulud e Miasma indicam que a cadeia de suprimentos continuará sendo um dos principais campos de batalha da segurança digital nos próximos anos.

Iniciativas como version pinning, validação criptográfica de artefatos, SLSA, Sigstore e monitoramento contínuo de pipelines devem ganhar ainda mais importância dentro da indústria.

O incidente da Red Hat demonstra que a proteção do software moderno não termina quando o código é escrito. Ela se estende por toda a jornada, desde o repositório até a máquina do desenvolvedor e, finalmente, até o ambiente de produção.