Des dizaines de paquets logiciels officiels de Red Hat, distribués via le registre NPM (Node Package Manager), ont été compromis. Les pirates ont injecté du code malveillant directement depuis les canaux authentifiés de l'entreprise — ce qui signifie que les développeurs utilisant ces dépendances n'avaient aucun moyen de détecter la compromission par les méthodes standard.
La faille exploitait un accès insuffisamment verrouillé aux comptes de publication NPM de Red Hat. Les paquets concernés incluaient des outils d'infrastructure critiques utilisés par des milliers de projets. Red Hat a révoqué l'accès, publié des paquets nettoyés, et lancé une enquête interne.
Red Hat a révoqué l'accès, publié des paquets nettoyés, et lancé une enquête interne..
Le problème révèle un paradoxe : plus une source est « officielle » et « de confiance », moins on la scrute. Un pirate qui compromet le compte NPM d'une major tech company obtient une crédibilité instantanée — ses injections de code passent pour des mises à jour légitimes.
La leçon n'est pas « NPM est dangereux » mais « même les canaux officiels méritent une vérification ». Activation de l'authentification multi-facteur obligatoire, rotation régulière des clés d'accès, et scanning des dépendances (outils comme Snyk ou npm audit) deviennent non-négociables.