安全警报：Red Hat云服务npm包遭活跃供应链攻击，超300个GitHub仓库中存在被盗凭证

6 月 2 日，慢雾 SlowMist 发布安全警报，检测到一起活跃的 npm 供应链攻击，目标是 @redhat-cloud-services 相关软件包。目前已确认 31+ 个包受影响，周下载量约 11.6 万次，超过 300 个 GitHub 仓库中存在被盗凭证。该攻击手法与此前「Shai-Hulud」npm 攻击高度相似，包括凭证窃取、创建恶意仓库及自动化秘密外泄。目前仍有新的可疑仓库持续出现，表明攻击仍在进行中，开发者仍在被持续感染。潜在危害包括：GitHub/npm token 被盗、AWS/GCP/Azure 云凭证泄露、SSH 密钥和 Kubernetes 秘密收集、本地环境及钱包数据外泄、恶意仓库创建及持久化操作，甚至在 token 被吊销后可能引发破坏性行为。建议立即移除或降级受影响的 @redhat-cloud-services 包版本，全面审计 CI/CD 工作流和依赖安装，轮换所有 GitHub、npm、云服务、SSH 及钱包相关密钥，保留日志，并从干净镜像重建已暴露的开发者机器或 Runner，同时保持高度警惕。