Docenas de paquetes Red Hat tenían puertas traseras en su canal oficial de NPM

Docenas de paquetes de software distribuidos por el canal NPM oficial de Red Hat contenían código de puerta trasera, según reveló la empresa el lunes. Según el reportaje de Ars Technica, el incidente fue identificado una semana antes por el equipo JFrog Security Research y comunicado a Red Hat.

Los paquetes afectados están relacionados con la plataforma de registro de contenedores 'Quay' de Red Hat. El investigador de JFrog Andrey Polkovnychenko dijo a Ars Technica que 'la infección de los paquetes se produjo en una etapa dentro de la canalización CI/CD que construye los paquetes; el atacante consiguió penetrar dentro del proceso oficial de publicación'.

El objetivo del código de puerta trasera, según Polkovnychenko, era 'lograr acceso root en los servidores que instalan los paquetes y mantener una conexión de retorno hacia el atacante'. Los paquetes afectados se habrían publicado entre el 11 de mayo y el 27 de mayo de 2026.

El vicepresidente de seguridad de la información de Red Hat, Brian Levin, en el comunicado oficial del lunes, dijo: 'Cerramos de inmediato el punto de entrada del atacante, retiramos los paquetes afectados de todos los canales de distribución y presentamos una notificación formal al Certificate Transparency Log.'

El corresponsal de seguridad de Ars Technica Dan Goodin, en su comentario, dijo que 'los incidentes en la cadena de suministro que afectan a Red Hat sacuden los cimientos de confianza de los clientes empresariales; el impacto puede ser especialmente grande en los sectores gubernamental y de servicios financieros'. Goodin señaló que el número de descargas de paquetes afectados superaba las 200.000.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) emitió el lunes una advertencia que recomienda 'una revisión de seguridad inmediata en los servidores donde se instalaron paquetes afectados, con examen detallado de los registros de acceso root para el período posterior al 11 de mayo'. La CISA recordó a los operadores nacionales de infraestructuras críticas 'obligaciones adicionales de reporte'.

El director de Soluciones de Seguridad de IBM, Pierre Allard, en su análisis a Ars Technica tras el incidente, dijo que 'la brecha de verificabilidad en la cadena de suministro de software empresarial es amplia; a medida que crece el número de proveedores, la examinabilidad baja'. Allard dijo que la demanda de SBOM (Software Bill of Materials) por parte de clientes había aumentado un 40 por ciento tras el incidente.

El director de seguridad de GitHub Mike Hanley anunció durante el proceso de respuesta que GitHub había 'iniciado coordinación para desarrollar servicios completos de verificación de firmas para la infraestructura CI/CD de Red Hat'. Hanley dijo que el ecosistema de firma de software 'sufrirá un refuerzo estructural tras el incidente'.

La miembro del consejo de la Agencia Europea de Ciberseguridad (ENISA) Helena Brisman, en su declaración sobre el incidente, indicó que 'bajo la nueva Ley de Resiliencia Cibernética de la UE, los incidentes en la cadena de suministro de este tipo se clasifican como notificación obligatoria; la notificación de incidente de Red Hat se mantuvo dentro del plazo de 72 horas requerido'.

El texto de Goodin recordó que el incidente Red Hat era el tercer gran evento del ecosistema de código abierto este año. Solana Labs fue comprometida en marzo de 2026, y un paquete de extensión de Kubernetes bajo el paraguas de la Linux Foundation en abril. Este texto no constituye consejo de seguridad personal; actúe sobre los sistemas afectados conforme a las políticas de seguridad de su organización.