RedHat 的 NPM 包已遭到破坏。

RedHat 的 NPM 包已遭到破坏。
NPM packages from RedHat have been compromised

原始链接: https://github.com/RedHatInsights/javascript-clients/issues/492

这份列表详细列出了 `@redhat-cloud-services` 生态系统中 31 个软件包的当前版本。这些依赖项涵盖了红帽云服务应用程序中所使用的各种核心前端组件、专用客户端（如合规性、洞察和清单）、配置实用程序以及架构支持工具。该集合包括必要的 UI 库（如 `frontend-components` 和 `notifications`）、用于服务集成的 API 专用客户端，以及诸如 `eslint-config` 和 `tsc-transform-imports` 等开发工具。这些版本反映了目前支持红帽云服务平台开发的基础设施现状。

与红帽（Red Hat/redhatinsights）相关的 NPM 软件包遭到了供应链攻击，至少有 32 个软件包受到影响。 Hacker News 上的讨论凸显了人们对 NPM 生态系统安全性的持续担忧，尤其是其在安装过程中运行“生命周期脚本”（lifecycle scripts）的默认行为，这允许在用户计算机上执行任意代码。尽管批评人士指出，所有主流软件包管理器（如 PyPI、Cargo 等）都存在类似的供应链风险，但 NPM 因此类事件发生频率较高及其宽松的安全默认设置而频繁受到诟病。社区成员讨论了各种缓解策略，包括实施“冷却期”（推迟使用新版本的软件包，以便自动化扫描程序有时间检测恶意代码）、使用锁定（pinning）来防止自动更新，以及转向更安全的依赖管理方式。然而，许多参与者指出目前并没有完美的解决方案，安装第三方代码的现有模式本质上仍然具有危险性。一些人认为，对于高安全性环境而言，人工审计或分叉依赖库是唯一真正安全的途径。

原文

@redhat-cloud-services/chrome 2.3.1 @redhat-cloud-services/compliance-client 4.0.3 @redhat-cloud-services/config-manager-client 5.0.4 @redhat-cloud-services/entitlements-client 4.0.11 @redhat-cloud-services/eslint-config-redhat-cloud-services 3.2.1 @redhat-cloud-services/frontend-components 7.7.2 @redhat-cloud-services/frontend-components-advisor-components 3.8.2 @redhat-cloud-services/frontend-components-config 6.11.3 @redhat-cloud-services/frontend-components-config-utilities 4.11.2 @redhat-cloud-services/frontend-components-notifications 6.9.2 @redhat-cloud-services/frontend-components-remediations 4.9.2 @redhat-cloud-services/frontend-components-testing 1.2.1 @redhat-cloud-services/frontend-components-translations 4.4.1 @redhat-cloud-services/frontend-components-utilities 7.4.1 @redhat-cloud-services/hcc-feo-mcp 0.3.1 @redhat-cloud-services/hcc-kessel-mcp 0.3.1 @redhat-cloud-services/hcc-pf-mcp 0.6.1 @redhat-cloud-services/host-inventory-client 5.0.3 @redhat-cloud-services/insights-client 4.0.4 @redhat-cloud-services/integrations-client 6.0.4 @redhat-cloud-services/javascript-clients-shared 2.0.8 @redhat-cloud-services/notifications-client 6.1.4 @redhat-cloud-services/patch-client 4.0.4 @redhat-cloud-services/quickstarts-client 4.0.11 @redhat-cloud-services/rbac-client 9.0.3 @redhat-cloud-services/remediations-client 4.0.4 @redhat-cloud-services/rule-components 4.7.2 @redhat-cloud-services/sources-client 3.0.10 @redhat-cloud-services/topological-inventory-client 3.0.10 @redhat-cloud-services/tsc-transform-imports 1.2.2 @redhat-cloud-services/types 3.6.1

RedHat 的 NPM 包已遭到破坏。 NPM packages from RedHat have been compromised

RedHat 的 NPM 包已遭到破坏。
NPM packages from RedHat have been compromised