Des dizaines de paquets Red Hat compromis via son canal NPM officiel
Des dizaines de paquets logiciels distribués via le canal NPM officiel de Red Hat contenaient du code de porte dérobée, a révélé l'entreprise lundi. Selon le compte rendu d'Ars Technica, l'incident a été identifié une semaine plus tôt par l'équipe JFrog Security Research et signalé à Red Hat.
Les paquets concernés sont liés à la plateforme de registre de conteneurs 'Quay' de Red Hat. Le chercheur de JFrog Andrey Polkovnychenko a déclaré à Ars Technica que 'l'infection des paquets s'est produite à un stade situé dans le pipeline CI/CD qui assemble les paquets ; l'attaquant a réussi à pénétrer à l'intérieur du processus de publication officiel'.
L'objectif du code de porte dérobée, selon Polkovnychenko, était 'd'obtenir un accès root sur les serveurs installant les paquets et de maintenir une connexion de rappel vers l'attaquant'. Les paquets concernés auraient été publiés entre le 11 mai et le 27 mai 2026.
Le vice-président de la sécurité de l'information de Red Hat, Brian Levin, dans la déclaration officielle de l'entreprise lundi, a affirmé : 'Nous avons immédiatement fermé le point d'entrée de l'attaquant, retiré les paquets concernés de tous les canaux de distribution et soumis une notification formelle au Certificate Transparency Log.'
Le correspondant sécurité d'Ars Technica Dan Goodin, dans son commentaire, a déclaré que 'les incidents de chaîne d'approvisionnement impliquant Red Hat ébranlent les fondements de confiance des clients entreprise ; l'impact peut être particulièrement important dans les secteurs gouvernemental et financier'. Goodin a noté que le nombre de téléchargements des paquets concernés dépassait 200 000.
L'Agence américaine de cybersécurité (CISA) a publié lundi une mise en garde recommandant 'une revue de sécurité immédiate sur les serveurs où des paquets affectés ont été installés, avec un examen détaillé des journaux d'accès root pour la période postérieure au 11 mai'. La CISA a rappelé aux opérateurs nationaux d'infrastructures critiques 'des obligations supplémentaires de signalement'.
Le directeur des solutions de sécurité d'IBM Pierre Allard, dans son analyse à Ars Technica après l'incident, a déclaré que 'l'écart de vérifiabilité dans la chaîne d'approvisionnement logicielle d'entreprise est important ; à mesure que le nombre de fournisseurs croît, l'examinabilité diminue'. Allard a indiqué que la demande client en SBOM (Software Bill of Materials) avait augmenté de 40 % après l'incident.
Le directeur sécurité de GitHub Mike Hanley a annoncé pendant le processus de réponse que GitHub avait 'lancé une coordination pour développer des services complets de vérification de signatures pour l'infrastructure CI/CD de Red Hat'. Hanley a déclaré que l'écosystème de signature logicielle 'connaîtra un renforcement structurel après l'incident'.
La membre du conseil de l'Agence européenne de cybersécurité (ENISA) Helena Brisman, dans sa déclaration sur l'incident, a indiqué qu'en vertu de la nouvelle loi européenne sur la cyber-résilience, les incidents de chaîne d'approvisionnement de ce type sont classés en catégorie de notification obligatoire ; la notification d'incident de Red Hat est restée dans le délai de 72 heures requis.
Le papier de Goodin rappelait que l'incident Red Hat était le troisième grand événement de l'écosystème open source cette année. Solana Labs avait été compromis en mars 2026, et un paquet d'extension Kubernetes sous l'égide de la Linux Foundation en avril. Cet article ne constitue pas un conseil de sécurité personnel ; agissez sur les systèmes affectés conformément aux politiques de sécurité de votre organisation.