Вредоносные npm-пакеты обнаружены в облачных сервисах Red Hat. Атака сработала при обычном npm install

Контекст

Цепочки поставок через npm стали самым популярным вектором supply chain-атак в экосистеме JavaScript.

Что произошло

В репозитории Red Hat Cloud Services обнаружены скомпрометированные npm-пакеты из набора @redhat-cloud-services/javascript-clients. Вредоносный код исполнялся на этапе npm install — до того, как разработчик успевал что-либо проверить.

Тот же репозиторий уже пострадал от атаки через axios. После неё пакет остался незакреплённым (unpinned), что сделало повторную атаку тривиальной.

Что говорит тред

«Cooldown на 1-2 дня на установку новых версий пакетов — крайне эффективная мера без негативного влияния на патчи CVE. Она заблокировала бы атаки на axios, TanStack и Red Hat» — инженер по безопасности

Почему npm особенно уязвим:

• Код исполняется при установке — в отличие от статически типизированных языков
• Автообновление по умолчанию — семантическое версионирование с ^ подтягивает новые версии автоматически
• CI/CD с избыточными привилегиями — GitHub Actions часто дают npm install доступ к секретам

«Большая часть проблемы — в GitHub и CI/CD-фреймворках. Раньше код лежал в одном месте, CI — в другом, и у CI не было доступа к коммитам» — разработчик

Конкретные рекомендации: разделять CI-джобы (install без привилегий, деплой отдельно), использовать npm ci вместо npm install, внедрять cooldown через Artifactory/Nexus, переходить на pnpm.

Что это значит

Третья крупная supply chain-атака через npm за несколько месяцев — и каждый раз работают одни и те же приёмы. Инструменты защиты существуют, но индустрия внедряет их реактивно, после каждого инцидента.