본문으로 건너뛰기
J
피드

레드햇 클라우드 서비스 npm 패키지 여러 버전에서 악성 패키지 탐지

security 약 4분
tags
#npm#supply-chain#red-hat#javascript#malware
vote
0
댓글
북마크

레드햇 클라우드 서비스 관련 npm 패키지 다수에서 악성으로 보이는 버전들이 한꺼번에 지목됐어. 프론트엔드 컴포넌트, 클라이언트 SDK, ESLint 설정, MCP 관련 패키지까지 범위가 넓어서 의존성 잠금 파일을 바로 확인할 필요가 있어.

  • 1

    @redhat-cloud-services 스코프의 여러 npm 패키지에서 특정 버전들이 문제 버전으로 공개됨

  • 2

    프론트엔드 컴포넌트와 각종 서비스 클라이언트 패키지가 모두 포함돼 공급망 영향 범위가 큼

  • 3

    해당 패키지를 쓰는 프로젝트는 package-lock, pnpm-lock, yarn.lock에서 지목된 버전 포함 여부를 확인해야 함

  • 레드햇 클라우드 서비스 관련 npm 패키지에서 악성으로 의심되는 버전들이 대량으로 공개됐음

    • 범위는 @redhat-cloud-services/chrome, frontend-components, compliance-client, rbac-client, notifications-client 같은 패키지까지 꽤 넓음
    • 단일 패키지 사고라기보다 같은 조직 스코프 아래 여러 패키지의 특정 버전이 한꺼번에 걸린 케이스라 공급망 이슈로 봐야 함

  • 문제로 지목된 패키지는 프론트엔드 공통 컴포넌트와 서비스별 클라이언트 SDK가 섞여 있음

    • 예를 들면 frontend-components7.7.2, 7.7.3, 7.7.5가 언급됐고, rbac-client9.0.3, 9.0.4, 9.0.6이 포함됐음
    • host-inventory-client, insights-client, patch-client, remediations-client처럼 레드햇 콘솔 기능과 직접 연결될 법한 클라이언트 패키지도 들어가 있음

⚠️주의

> @redhat-cloud-services 스코프 패키지를 쓰는 프로젝트라면 package.json만 보지 말고 lockfile에서 실제 설치 버전을 확인해야 함.

  • 흥미로운 포인트는 버전 패턴이 띄엄띄엄 반복된다는 점임

    • 여러 패키지에서 .1, .2, .4 또는 .3, .4, .6 같은 식으로 특정 패치 버전들이 나열돼 있음
    • 이건 “최신 버전이면 괜찮겠지” 같은 감으로 넘기기 어렵고, 공지에 나온 패키지명과 버전을 정확히 대조해야 하는 유형임

  • 한국 개발자 입장에서도 남 일 아님

    • 레드햇 서비스를 직접 쓰지 않더라도 npm 생태계에서 조직 스코프 패키지를 신뢰하고 설치하는 패턴은 흔함
    • 사내 디자인 시스템, SDK, 공통 ESLint 설정도 똑같은 방식으로 배포되기 때문에 이번 건은 내부 패키지 관리 체계 점검용 사례로도 볼 만함

  • 당장 할 일은 단순함

    • package-lock.json, pnpm-lock.yaml, yarn.lock에서 @redhat-cloud-services/로 검색
    • 공개된 문제 버전과 일치하는 항목이 있으면 해당 의존성이 어디서 들어왔는지 추적
    • CI에서 npm audit만 믿기보다, 보안 공지 기반의 명시적 버전 차단도 같이 고려하는 게 좋음

이번 건은 ‘내가 직접 설치한 패키지’만 보는 방식으로는 놓치기 쉬운 전형적인 자바스크립트 공급망 리스크야. 특히 조직 스코프 패키지라 내부 서비스나 콘솔 UI에서 자동으로 딸려 들어갔을 가능성이 있어서 락파일 기준 점검이 먼저임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

인스타그램 계정 탈취, 이번엔 메타 지원 AI가 문을 열어준 꼴

인스타그램에서 일부 계정이 탈취된 사건의 핵심은 공격자가 사용자명과 대략적인 위치만 맞춘 뒤, 메타 지원 AI에게 본인 소유 이메일로 인증 코드를 보내게 만들었다는 주장임. 이 흐름에서는 2단계 인증도 계정 복구 절차 안에서 우회됐고, 고가의 짧은 핸들을 노린 블랙마켓 거래까지 이어졌다고 해.

security

에스투더블유, 공공기관용 보안 AI 제품 2종으로 CSAP 인증 획득

에스투더블유가 안보 AI 플랫폼 자비스와 보안 AI 솔루션 퀘이사에 대해 클라우드 서비스 보안인증을 받았다. 공공기관 납품과 조달청 디지털서비스몰 등록에 필요한 문턱을 넘었다는 점에서, 국내 보안 SaaS 시장에 꽤 실질적인 뉴스다.

security

레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개

레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 공개했어. 개발 단계의 구성요소 점검부터 외부 반입 소프트웨어 검증, 운영 서버의 실제 실행 구성요소 확인까지 하나의 워크플로우로 묶겠다는 방향이 핵심이야.

security

레드펜소프트, 개발부터 운영까지 묶는 소프트웨어 공급망 보안 플랫폼 출시

레드펜소프트가 소프트웨어 공급망 보안을 개발·반입·운영 단계까지 하나의 워크플로우로 관리하는 X스캔 시큐어 애셋을 출시했다. 단순 오픈소스 취약점 점검을 넘어, 실제 운영 서버에서 어떤 구성요소가 실행 중이고 어떤 취약점이 진짜 위험한지까지 연결해 보겠다는 방향이다.

security

이노뎁, 73억원 규모 벨리즈 AI 관제사업 수주

이노뎁이 벨리즈 정부의 AI 관제 인프라 확장사업을 약 73억원 규모로 수주했다. 기존 911 통합관제 환경에서 운영하던 플랫폼과 AI 영상분석 체계를 도시 전역으로 확대하는 계약으로, 국내 관제센터 운영 경험을 해외 공공안전 시장에 적용하는 사례다.