Red Hatは、@redhat-cloud-services npmネームスペースで公開されている複数のパッケージに対するサプライチェーン侵害を2026年6月1日に公式に開示しました。
今回のインシデントは、Red HatのGitHub組織が管理するフロントエンドライブラリへの不正なコード注入を伴うもので、下流製品の完全性に対する深刻な懸念を引き起こしています。
初期のフォレンジック分析によると、侵害されたGitHubアカウントが攻撃の入口となったとみられています。脅威アクターはこのアクセスを利用して、RedHatInsights GitHubオーガニゼーション配下のリポジトリに不正なコミットを直接プッシュしました。
悪意あるコミットの標的となったのは、Red Hatの製品ビルドプロセスにおいてコンパイルされ、コンテナイメージにバンドルされるフロントエンドライブラリパッケージです。
この手法は、サプライチェーン攻撃における増加傾向を反映しています。攻撃者は開発者の認証情報を侵害し、従来の境界型防御を完全に迂回する形で、上流に悪意あるコードを密かに注入します。
侵害されたパッケージは、@redhat-cloud-services npmネームスペース内のフロントエンドライブラリです。
注入されたライブラリは、CI/CDパイプラインにおけるコンテナイメージのビルド時に取り込まれる可能性があり、依存関係の整合性検証なしには検出が著しく困難になります。
Red Hatのエンジニアリングチームは開示後すでにnpmから侵害されたパッケージバージョンを削除しており、Red Hat製品セキュリティチームは改ざんされたバージョンが本番ビルドに取り込まれていないかを確認するため、ビルドシステムおよび依存関係追跡の詳細な分析を進めています。
Ox Securityの調査によると、現代のサプライチェーン攻撃は多段階の操作へと進化しており、攻撃者が信頼されたメンテナーアカウントやパッケージレジストリを連鎖的に悪用するケースでは、最大6層にわたる深さに達することもあります。
RedHatInsightsのインシデントはまさにこのパターンに合致しており、アカウント乗っ取りを初期アクセスベクターとしてソフトウェア開発ライフサイクル全体を横断的に侵害しています。
現時点での調査結果に基づき、Red Hatは顧客側での対応は不要としています。同社の製品セキュリティチームは、侵害されたパッケージバージョンが公式製品ビルドに組み込まれたという確証は得られていないと述べています。
ただし、@redhat-cloud-services npmパッケージを自社のパイプラインで直接使用している組織は、npmの依存関係ロックファイルで影響を受けるバージョンを確認し、2026年5月〜6月の間に予期しないパッケージ取得がなかかCI/CDパイプラインのログをレビューし、最新のIOCおよび修復ガイダンスについてはRed Hat Security Bulletin RHSB-2026-006を継続的に確認することが推奨されます。
Red Hatは、調査が現在も進行中であり、新たな情報が得られ次第セキュリティ情報を更新すると表明しています。
今回のインシデントは、ソフトウェア部品表(SBOM)によるトラッキング、npmパッケージの整合性検証、そしてハードウェアバックドMFAや署名付きコミットポリシーによる特権GitHubアカウントの保護が、いかに不可欠であるかを改めて示しています。
翻訳元: https://cyberpress.org/red-hat-confirms-supply-chain-breach/
