레드햇, 침해된 npm 패키지 32개 제거 (opens in new tab)

연구원들이 레드햇 관련 프런트엔드 라이브러리에 자격 증명 탈취 악성코드를 삽입하는 공급망 공격을 발견함에 따라, 레드햇은 @redhat-cloud-services npm 네임스페이스 하의 패키지 중 침해된 버전들을 제거했습니다. 마이크로소프트는 90개 이상의 버전에 걸친 32개 패키지가 악의적으로 수정되었다고 밝혔으며, Aikido 연구원들은 주당 116,000회 이상의 다운로드 수를 기록한 32개 패키지, 96개 버전이 영향을 받은 것으로 집계했습니다. 레드햇은 초기 조사 결과, 침해된 GitHub 계정이 RedHatInsights GitHub 조직의 리포지토리에 무단 커밋을 푸시한 것을 확인했다고 밝혔습니다. 회사 측은 영향을 받은 패키지가 내부 개발 툴링에 국한되었으며, console.redhat.com을 통한 고객 사용에는 영향이 없었다고 설명했습니다. 마이크로소프트는 이번 침해가 RedHatInsights/javascript-clients CI/CD 파이프라인에서 시작...