Red Hat、OSS ライブラリ RedHatInsights に悪意のある npm パッケージ混入を報告
信頼されたベンダーのパッケージを標盤としたサプライチェーン攻撃であり、開発者は直ちに依存関係のロックと特定バージョンの排除を完遂すべき。
リリース: 2026-06-01 · 読了 2 分何が起きた
RedHatInsights/javascript-clients リポジトリの Issue #492 にて、複数の悪意のある npm パッケージが検出されたと報告された
影響を受けるのは Red Hat Cloud Services に関連する JavaScript クライアントライブラリ群である
2026年6月1日に公開され、現在も影響を受けるパッケージリストの更新と調査が進行している
なぜ重要
公式のクライアントライブラリを信頼して CI/CD に組み込んでいる場合、自動ビルドを通じて本番環境にバックドアが混入するリスクがある
npm エコシステムの依存関係を悪用した攻撃は、開発者のローカル環境からクラウドインフラの認証情報まで広範囲に窃取する恐れがある
👁️ 開発者
Red Hat 関連の SDK を利用している開発者は、`npm list` や `package-lock.json` を精査し、Issue に記載された悪意のあるバージョンが含まれていないか即座に検証し、検知した場合はシークレット情報のローテーションを完遂する必要がある。
🇯🇵 日本
Red Hat 製品を基盤に採用している国内の大手 SIer や金融系システムの開発チームは、自社開発プロジェクトの依存関係を再点検し、影響がある場合は直ちにビルドパイプラインの停止とセキュリティパッチの適用を行うべきである。