Dnes byl na GitHubu otevřen bezpečnostní issue č. 492 v repozitáři RedHatInsights/javascript-clients, který upozorňuje na kompromitaci celé řady npm balíčků pod scopem @redhat-cloud-services/.

Co se stalo?

Výzkumníci ze StepSecurity detekovali škodlivé verze hned 31 npm balíčků patřících Red Hat Cloud Services. Mezi postiženými balíčky jsou například:

• @redhat-cloud-services/chrome (v2.3.1)
• @redhat-cloud-services/frontend-components (v7.7.2)
• @redhat-cloud-services/rbac-client (v9.0.3)
• @redhat-cloud-services/host-inventory-client (v5.0.3)
• @redhat-cloud-services/notifications-client (v6.1.4)
• a desítky dalších

Co dělat?

Pokud ve svém projektu používáte jakýkoliv balíček ze scope @redhat-cloud-services/, okamžitě zkontrolujte, zda nemáte nainstalovanou kompromitovanou verzi. Kompletní seznam postižených verzí je k dispozici přímo v issue.

Více informací najdete v blogu StepSecurity nebo na jejich OSS security feedu.