Red Hat、npmパッケージのサプライチェーン侵害を確認

Red Hatは、@redhat-cloud-services npmネームスペース配下で公開されている複数のパッケージに影響するサプライチェーン侵害を確認し、2026年6月1日に公表しました

今回の事件は、Red HatのGitHub組織内で管理されているフロントエンドライブラリへの不正なコード注入に関わるものであり、下流の製品の完全性について深刻な懸念を生じさせています。

初期フォレンジック分析の結果、侵害されたGitHubアカウントが侵入口となっていたことが示されています。攻撃者はこのアクセスを悪用し、RedHatInsights GitHubオーガニゼーション配下のリポジトリへ不正なコミットを直接プッシュしました。

悪意のあるコミットが標的としたのは、Red Hatの製品ビルドプロセス中にコンテナイメージへコンパイル・バンドルされるフロントエンドライブラリパッケージです。

この手法は、サプライチェーン攻撃における増加傾向を体現しており、攻撃者が開発者の認証情報を侵害してアップストリームに密かに悪意あるコードを注入し、従来の境界型防御を完全に回避するというものです。

侵害されたパッケージは、@redhat-cloud-services npmネームスペース内のフロントエンドライブラリです。

一度注入されると、これらのライブラリはCI/CDパイプライン経由でコンテナイメージのビルドに取り込まれる可能性があり、依存関係の整合性検証なしには検出が著しく困難になります。

Red Hatのエンジニアリングチームは公表後、侵害されたパッケージバージョンをnpmから既に削除しています。Red Hat製品セキュリティチームは現在、改ざんされたバージョンが本番ビルドに組み込まれたかどうかを確認するため、ビルドシステムおよび依存関係追跡の詳細な分析を進めています。

Ox Securityの調査が明らかにしているように、現代のサプライチェーン攻撃は多段階の複合的な攻撃へと進化しており、最大6層の深さに及ぶ事例もあります。攻撃者は信頼された管理者アカウントやパッケージレジストリを連鎖的に悪用し、段階的な侵害を引き起こします。

RedHatInsightsの今回の事件はまさにこのパターンに合致しており、アカウント乗っ取りを初期アクセスベクターとして活用したうえで、ソフトウェア開発ライフサイクル全体を横断的に侵害しています。

現時点の調査結果に基づき、Red Hatは顧客側での対応は不要としています。同社の製品セキュリティチームは、侵害されたパッケージバージョンが公式製品ビルドに組み込まれたという確認済みの証拠は見つかっていないとしています。

ただし、自社パイプラインで@redhat-cloud-services npmパッケージを直接利用している組織は、影響を受けるバージョンについてnpm依存関係ロックファイルを監査し、2026年5月から6月にかけての予期しないパッケージ取得についてCI/CDパイプラインのログを確認するとともに、最新のIOCおよび修復ガイダンスについてRed Hat公式セキュリティ情報RHSB-2026-006を継続的に監視することが推奨されます。

Red Hatは、調査が継続中であること、および新たな情報が判明し次第セキュリティ情報を更新する予定であることを明らかにしています。

今回の事件は、ソフトウェア部品表(SBOM)の追跡管理、npmパッケージの整合性検証、そしてハードウェアベースのMFAと署名付きコミットポリシーによる特権GitHubアカウントの保護がいかに不可欠であるかを、改めて浮き彫りにしています。

翻訳元: https://cyberpress.org/red-hat-confirms-supply-chain-breach/

ソース: cyberpress.org