TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究のログ

トップ > 攻撃手法: Shai-Hulud Attack (サプライチェーン攻撃) > npmサプライチェーン攻撃Shai-Huludの起点はフィッシング~TOTPの代わりにFIDOで対策を~【セキュア開発技術Blog】

npmサプライチェーン攻撃Shai-Huludの起点はフィッシング~TOTPの代わりにFIDOで対策を~【セキュア開発技術Blog】

攻撃手法: Shai-Hulud Attack (サプライチェーン攻撃) アプリ: npm

【要約】

2025年9月、npmを狙った大規模サプライチェーン攻撃「Shai-Hulud」が発生し、500以上のパッケージが侵害された。攻撃の起点はメンテナーを狙うフィッシングで、認証情報が奪われ連鎖的に拡散。GitHubは再発防止策として、従来のTOTP(二要素認証)を廃止し、フィッシング耐性の高いFIDOベース認証(passkey)への移行を発表した。TOTPは利便性が高いが盗難リスクが残るため、今後はFIDOを用いた安全な認証の導入が推奨されている。


【ブログ】

◆npmサプライチェーン攻撃Shai-Huludの起点はフィッシング~TOTPの代わりにFIDOで対策を~【セキュア開発技術Blog】 (Proactive Defense, 2025/10/02)
https://www.proactivedefense.jp/blog/blog-training/post-7108


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)
  ◆サプライチェーン攻撃 (まとめ)

◆Shai-Hulud Attack (まとめ)
https://malware-log.hatenablog.com/entry/Shai-Hulud_Attack

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023