【要点】 ◎偽のBunランタイムを装うマルウェアがNPM 1000件超とGitHub 2.7万件を汚染。難読化JSが資格情報を窃取し、盗んだトークンで自己増殖するワーム攻撃で、Shai-Hulud再来とみられる。

【要点】 ◎npmに15万超の悪意パッケージが投入され、tea Protocol のトークン獲得が目的だった。実害はないがレジストリ負荷が問題に。SBOM導入や低品質パッケージ削除などの対策が推奨される。

【訳】犯罪者らがトークン採掘マルウェアで15万以上のnpmパッケージを汚染 【要点】 ◎npmで15万件超の悪意パッケージが発見。攻撃者はtea.xyzの報酬目的で自動生成・公開し、利用者の操作でトークンを得る仕組み。品質低下やレジストリ汚染が問題視され、Ama…

【要約】 2025年9月、npmを狙った大規模サプライチェーン攻撃「Shai-Hulud」が発生し、500以上のパッケージが侵害された。攻撃の起点はメンテナーを狙うフィッシングで、認証情報が奪われ連鎖的に拡散。GitHubは再発防止策として、従来のTOTP（二要素認証）…

【要点】 ◎Node Package Manager の略。JavaScript（特にNode.js）用のパッケージ管理システム ◎Node.js で使う 外部ライブラリやツール（パッケージ）を簡単にインストール・管理 するための仕組み

【訳】非公式のPostmark MCP npmがユーザーのメールを密かに盗んだ 【図表】 開発者は自身のメールアドレスを追加し、ユーザーの通信記録のコピーを受信できるようにした (Koi Security) npm上の偽装パッケージ (Koi Security) 出典: https://www.bleepingco…

【ニュース】 ◆JavaScriptやNode.jsで40本以上のパッケージが改ざんされるサプライチェーン攻撃-NPMエコシステムへ再び攻撃 (セキュリティ対策Lab, 2025/09/18) https://rocket-boys.co.jp/security-measures-lab/javascript-nodejs-npm-supply-chain-attack…

【図表】 出典: https://gigazine.net/news/20250917-shai-hulud-npm-packages/ 【ニュース】 ◆毎週200万回以上ダウンロードされる人気の@ctrl/tinycolorパッケージが高度なサプライチェーン攻撃「Shai-Hulud」によって40以上のNPMパッケージとともに侵害を…

【ニュース】 ◆自己伝播ワーム「Shai-Hulud」のサプライチェーン攻撃で180件超のnpmパッケージが侵害される (Codebook, 2025/09/17) https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/40916/ 【関連まとめ記事】◆全体まとめ ◆アプ…

【ブログ】 ◆npm史上最大：自己伝播ワーム「Shai-Hulud」のサプライチェーン攻撃 (@___nix__(Zenn), 2025/09/17) https://zenn.dev/nix/articles/0a2910ec65b4a3 【関連まとめ記事】◆全体まとめ ◆アプリ (まとめ) ◆npm (まとめ) https://malware-log.hatenab…

【訳】大規模なNPMサプライチェーン攻撃でハッカーは手ぶらで撤退 【図表】 (Wiz) 出典: https://www.bleepingcomputer.com/news/security/hackers-left-empty-handed-after-massive-npm-supply-chain-attack/ 【要約】 2025年9月、人気NPMパッケージが史上…

【訳】ハッカーがnpmパッケージを乗っ取り、週20億回ダウンロードされるサプライチェーン攻撃を実行 【図表】 フィッシングメール（Nicolas Morel） 出典: https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-week…

【訳】悪意のあるnpmパッケージは、イーサリアム開発者の秘密鍵を標的にしている 【要約】 イーサリアム開発環境「Hardhat」を装った悪意のあるnpmパッケージ20個が、開発者の秘密鍵や機密データを狙う攻撃に利用されていました。これらはタイプスクワッティ…

【ニュース】 ◆npmにブロックチェーンの秘密鍵盗むパッケージ、目的不明 (マイナビニュース, 2024/10/25 18:45) https://news.mynavi.jp/techplus/article/20241025-3050777/

【ニュース】 ◆npmの公開情報と異なるパッケージを800件超発見、うち18件は悪用の可能性 (マイナビニュース, 2024/03/25 11:16) https://news.mynavi.jp/techplus/article/20240325-2912115/

【訳】悪意のあるPyPIとnpmパッケージのストリームによってSSHキーが盗まれる 【図表】 外部ソースからbashスクリプトを取得（Phylum） bashスクリプトの内容（Phylum） 出典: https://www.bleepingcomputer.com/news/security/ssh-keys-stolen-by-stream-of…

【訳】新しいPythonツールは、マニフェストの混乱の問題がないかNPMパッケージをチェックします。 【図表】 テスト済みパッケージ (BleepingComputer) 出典: https://www.bleepingcomputer.com/news/security/new-python-tool-checks-npm-packages-for-manif…

【訳】「マニフェスト混乱」攻撃の危険にさらされるNPMエコシステム 【図表】 操作されたマニフェスト データの例（blog.vlt.sh） npm@6 実行中のインストール・スクリプトがマニフェストに存在しない、またはその逆 (blog.vlt.sh) 出典: https://www.bleepi…

【ニュース】 ◆悪意のあるnpmパッケージを用いたIconBurstサプライチェーン攻撃に注意 (マイナビニュース, 2022/07/09 16:19) https://news.mynavi.jp/techplus/article/20220709-2392604/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆サプライチェ…

【ニュース】 ◆NPM supply-chain attack impacts hundreds of websites and apps (BleepingComputer, 2022/07/05 13:56) [NPM サプライチェーン攻撃により、数百のウェブサイトとアプリに影響] https://www.bleepingcomputer.com/news/security/npm-supply-c…