---
title: "레드햇 클라우드 서비스 npm 패키지 여러 버전에서 악성 패키지 탐지"
published: 2026-06-01T13:30:21.000Z
canonical: https://jeff.news/article/3564
---
# 레드햇 클라우드 서비스 npm 패키지 여러 버전에서 악성 패키지 탐지

레드햇 클라우드 서비스 관련 npm 패키지 다수에서 악성으로 보이는 버전들이 한꺼번에 지목됐어. 프론트엔드 컴포넌트, 클라이언트 SDK, ESLint 설정, MCP 관련 패키지까지 범위가 넓어서 의존성 잠금 파일을 바로 확인할 필요가 있어.

- 레드햇 클라우드 서비스 관련 npm 패키지에서 악성으로 의심되는 버전들이 대량으로 공개됐음
  - 범위는 `@redhat-cloud-services/chrome`, `frontend-components`, `compliance-client`, `rbac-client`, `notifications-client` 같은 패키지까지 꽤 넓음
  - 단일 패키지 사고라기보다 같은 조직 스코프 아래 여러 패키지의 특정 버전이 한꺼번에 걸린 케이스라 공급망 이슈로 봐야 함

- 문제로 지목된 패키지는 프론트엔드 공통 컴포넌트와 서비스별 클라이언트 SDK가 섞여 있음
  - 예를 들면 `frontend-components`는 `7.7.2`, `7.7.3`, `7.7.5`가 언급됐고, `rbac-client`는 `9.0.3`, `9.0.4`, `9.0.6`이 포함됐음
  - `host-inventory-client`, `insights-client`, `patch-client`, `remediations-client`처럼 레드햇 콘솔 기능과 직접 연결될 법한 클라이언트 패키지도 들어가 있음

> [!WARNING]
> `@redhat-cloud-services` 스코프 패키지를 쓰는 프로젝트라면 package.json만 보지 말고 lockfile에서 실제 설치 버전을 확인해야 함.

- 흥미로운 포인트는 버전 패턴이 띄엄띄엄 반복된다는 점임
  - 여러 패키지에서 `.1`, `.2`, `.4` 또는 `.3`, `.4`, `.6` 같은 식으로 특정 패치 버전들이 나열돼 있음
  - 이건 “최신 버전이면 괜찮겠지” 같은 감으로 넘기기 어렵고, 공지에 나온 패키지명과 버전을 정확히 대조해야 하는 유형임

- 한국 개발자 입장에서도 남 일 아님
  - 레드햇 서비스를 직접 쓰지 않더라도 npm 생태계에서 조직 스코프 패키지를 신뢰하고 설치하는 패턴은 흔함
  - 사내 디자인 시스템, SDK, 공통 ESLint 설정도 똑같은 방식으로 배포되기 때문에 이번 건은 내부 패키지 관리 체계 점검용 사례로도 볼 만함

- 당장 할 일은 단순함
  - `package-lock.json`, `pnpm-lock.yaml`, `yarn.lock`에서 `@redhat-cloud-services/`로 검색
  - 공개된 문제 버전과 일치하는 항목이 있으면 해당 의존성이 어디서 들어왔는지 추적
  - CI에서 npm audit만 믿기보다, 보안 공지 기반의 명시적 버전 차단도 같이 고려하는 게 좋음

## 핵심 포인트

- @redhat-cloud-services 스코프의 여러 npm 패키지에서 특정 버전들이 문제 버전으로 공개됨
- 프론트엔드 컴포넌트와 각종 서비스 클라이언트 패키지가 모두 포함돼 공급망 영향 범위가 큼
- 해당 패키지를 쓰는 프로젝트는 package-lock, pnpm-lock, yarn.lock에서 지목된 버전 포함 여부를 확인해야 함

## 인사이트

이번 건은 ‘내가 직접 설치한 패키지’만 보는 방식으로는 놓치기 쉬운 전형적인 자바스크립트 공급망 리스크야. 특히 조직 스코프 패키지라 내부 서비스나 콘솔 UI에서 자동으로 딸려 들어갔을 가능성이 있어서 락파일 기준 점검이 먼저임.