Red Hat 클라우드 서비스 npm 패키지에서 악성코드 발견
원제: Malicious npm packages detected across Red Hat Cloud Services
왜 중요한가
대형 엔터프라이즈 기업의 공식 npm 패키지 침해로 오픈소스 공급망 보안의 취약성이 다시 부각됐다.
Red Hat 클라우드 서비스의 여러 npm 패키지에서 악성코드가 탐지됐다. @redhat-cloud-services 스코프 내 8개 이상의 패키지가 침해당했으며, chrome, compliance-client, config-manager-client 등이 포함됐다.
보안 전문업체 StepSecurity가 Red Hat 클라우드 서비스의 npm 패키지 생태계에서 대규모 악성코드 감염을 발견했다고 보고했다. 침해된 패키지는 @redhat-cloud-services/chrome (버전 2.3.1, 2.3.2, 2.3.4), @redhat-cloud-services/compliance-client (버전 4.0.3, 4.0.4, 4.0.6), @redhat-cloud-services/config-manager-client (버전 5.0.4, 5.0.5, 5.0.7) 등 총 8개 이상이다. 기타 영향받은 패키지로는 entitlements-client, eslint-config-redhat-cloud-services, frontend-components, frontend-components-advisor-components, frontend-components-config가 있다. 각 패키지마다 여러 버전이 침해됐으며, 주로 최근 릴리스된 버전들이 타겟이 됐다. Red Hat은 GitHub 이슈를 통해 이 보안 사고를 공개하고 대응 중이라고 밝혔다.