TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 / 攻撃技術 に関する「個人」の調査・研究

トップ > アプリ: npm > npm Adds 2FA-Gated Publishing and Package Install Controls Against Supply Chain Attacks

npm Adds 2FA-Gated Publishing and Package Install Controls Against Supply Chain Attacks

アプリ: npm サービス: GitHub staged publishing(段階公開)機能 認証: 多要素認証 / 二要素認証 / MFA / 2FA

【要点】

◎GitHubはnpm向けに2FA必須の段階公開機能を導入した。サプライチェーン攻撃対策として不正パッケージ公開を防ぐ狙いがある (The Hacker News)


【訳】

npm、サプライチェーン攻撃対策として2段階認証による公開およびパッケージインストール制御機能を追加


【要約】

GitHubは、npmレジストリ向けに「staged publishing(段階公開)」機能を正式提供開始した。これは、CI/CDやOIDC利用時も含め、パッケージ公開前にメンテナーが2要素認証(2FA)で明示承認する仕組みで、サプライチェーン攻撃対策を強化するもの。公開前のtarballは一時キューへ格納され、「npm stage publish」で承認待ち状態となる。また、ローカルファイル、リモートURL、ディレクトリ由来インストールを制御する新フラグも追加された。背景にはTeamPCPなどによる大規模OSS汚染攻撃の増加があり、GitHubはOIDCと組み合わせた運用を推奨している。


【ニュース】

◆npm Adds 2FA-Gated Publishing and Package Install Controls Against Supply Chain Attacks (The Hacker News, 2026/05/23)
[npm、サプライチェーン攻撃対策として2段階認証による公開およびパッケージインストール制御機能を追加]
https://thehackernews.com/2026/05/npm-adds-2fa-gated-publishing-and.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023