Red Hat Cloud ServicesのnpmパッケージでマルウェアDelta/マルウェア検出
原題: Malicious npm packages detected across Red Hat Cloud Services
なぜ重要か
エンタープライズ向けクラウドサービスの基盤パッケージが侵害されたことで、サプライチェーンセキュリティの重要性が改めて浮き彫りになった
Red Hat Cloud Servicesのnpmパッケージ複数で悪意あるコードが検出された。@redhat-cloud-services/スコープの少なくとも8つのパッケージが影響を受け、chromeやcompliance-clientなど主要なフロントエンドコンポーネントが含まれる。StepSecurityが報告し、GitHubのIssueで詳細が公開されている。
Red Hat Cloud Servicesの複数のnpmパッケージで悪意あるコードが検出される事案が発生した。セキュリティ企業StepSecurityの報告によると、@redhat-cloud-servicesスコープの複数のパッケージが侵害されており、影響を受けたパッケージには@redhat-cloud-services/chrome、@redhat-cloud-services/compliance-client、@redhat-cloud-services/config-manager-client、@redhat-cloud-services/entitlements-client、@redhat-cloud-services/eslint-config-redhat-cloud-services、@redhat-cloud-services/frontend-components、@redhat-cloud-services/frontend-components-advisor-components、@redhat-cloud-services/frontend-components-configなどが含まれる。各パッケージで複数のバージョンが侵害されており、例えばchromeパッケージでは2.3.1、2.3.2、2.3.4のバージョンが影響を受けている。この問題はRedHatInsightsのjavascript-clientsリポジトリのGitHub Issue #492で報告され、詳細な情報がStepSecurityのブログとOSSセキュリティフィードで公開されている。これらのパッケージはRed Hatのクラウドサービスにおけるフロントエンド開発で広く使用されており、開発者は侵害されたバージョンの使用を避け、安全なバージョンへの更新が推奨される。