Alerta de Seguridad: Comprometen paquetes npm de Red Hat Cloud Services en un ataque a la cadena de suministro

La seguridad del ecosistema de software de código abierto volvió a ser noticia tras detectarse versiones maliciosas de múltiples paquetes npm pertenecientes al alcance @redhat-cloud-services. El incidente, reportado inicialmente por investigadores de seguridad y documentado en el repositorio oficial de Red Hat, representa un nuevo ejemplo de los riesgos asociados a los ataques de cadena de suministro (Supply Chain Attacks).

¿Qué ocurrió?

El 1 de junio de 2026 se reportó que varios paquetes npm publicados bajo el namespace @redhat-cloud-services contenían código malicioso. Las investigaciones preliminares apuntan a una posible compromisión del proceso automatizado de publicación utilizado por Red Hat para distribuir estas bibliotecas.

Según los análisis realizados por investigadores de seguridad, los paquetes afectados fueron publicados mediante un flujo legítimo de GitHub Actions utilizando mecanismos de publicación confiables (OIDC), lo que permitió que las versiones maliciosas aparecieran como versiones oficiales y firmadas.

¿Cuál era el riesgo?

Los paquetes comprometidos incluían código diseñado para ejecutarse durante la instalación mediante npm install. Los reportes indican que el malware tenía capacidades para:

• Robar credenciales y secretos almacenados en entornos de desarrollo.
• Obtener tokens utilizados en procesos CI/CD.
• Propagarse hacia otros repositorios mediante la modificación de flujos automatizados.
• Comprometer la seguridad de proyectos que dependían de estos paquetes.

Este tipo de ataque es especialmente peligroso porque aprovecha la confianza que los desarrolladores depositan en dependencias legítimas y ampliamente utilizadas.

Paquetes afectados

La investigación identificó más de 30 paquetes comprometidos dentro del ecosistema @redhat-cloud-services, incluyendo bibliotecas relacionadas con:

• Frontend Components
• RBAC Client
• Insights Client
• Notifications Client
• Compliance Client
• Host Inventory Client
• Vulnerabilities Client

Entre otros componentes utilizados en herramientas y desarrollos asociados a Red Hat Cloud Services.

Respuesta de Red Hat

Tras la detección del incidente, Red Hat inició una investigación y retiró las versiones afectadas del registro npm. La compañía informó que los paquetes comprometidos estaban relacionados principalmente con herramientas de desarrollo y que, hasta el momento de su comunicado, no se habían identificado impactos en los sistemas de producción de clientes ni en la infraestructura de Red Hat.

Recomendaciones para desarrolladores y organizaciones

Si tu organización utiliza paquetes del alcance @redhat-cloud-services, es recomendable:

• Revisar inmediatamente las versiones instaladas en proyectos activos.
• Identificar si alguna coincide con las versiones comprometidas.
• Actualizar a versiones seguras publicadas posteriormente.
• Rotar credenciales, tokens y secretos que pudieran haber estado expuestos.
• Auditar pipelines CI/CD para detectar actividades sospechosas.
• Implementar herramientas de monitoreo y análisis de dependencias de terceros.

Una lección para toda la industria

Este incidente demuestra que incluso organizaciones tecnológicas de gran reputación pueden convertirse en objetivo de ataques a la cadena de suministro. La adopción de prácticas como la validación de dependencias, el uso de Software Bill of Materials (SBOM), la supervisión continua de repositorios y la protección de pipelines de CI/CD se vuelve cada vez más crítica para reducir el riesgo de compromisos similares.

La seguridad ya no depende únicamente del código que desarrolla una organización, sino también de la confianza depositada en cada componente externo que forma parte de su ecosistema digital.