En bref
Que s'est-il passé ?
Le 1er juin 2026, plusieurs paquets du scope npm @redhat-cloud-services diffusent un malware qui s'exécute à chaque npm install, avant tout code applicatif.
Le script d'installation de 4,2 Mo (au lieu de quelques Ko), caché sous trois couches d'obfuscation, moissonne les secrets GitHub Actions et les jetons AWS, GCP, Azure, Kubernetes, Vault, npm et CircleCI, avec une tentative explicite de contourner Harden-Runner.
Ver auto-propageant : via les jetons npm volés et le paramètre bypass_2fa de npm, il republie des versions piégées d'autres paquets même protégés par 2FA. Tous publiés via OIDC depuis RedHatInsights/javascript-clients : le pipeline CI/CD amont est compromis.
Désactiver les scripts d'installation (ignore-scripts) ou les confiner, filtrer l'egress, identités courtes et révocation rapide, et durcir le pipeline de publication (gate d'approbation, branche restreinte).
Chronologie de l'attaque
Des paquets @redhat-cloud-services exécutent à l'install un voleur de secrets auto-propageant, publiés via le pipeline OIDC de RedHatInsights/javascript-clients.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
2FA et trusted publishing sur les comptes de publication ; détection de republication anormale.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 2 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :