npmパッケージnxへの悪意のある攻撃:認証情報の窃取とシステムシャットダウン
2025-08-27
npmパッケージ'nx'の複数のバージョン(21.5.0、20.9.0など)が悪意のある攻撃を受けました。攻撃者は盗まれたnpmトークンを使用して、ユーザーのファイルシステムをスキャンし、認証情報(GitHub、システムパスワードなど)を収集し、この情報をユーザーアカウント下のGitHubリポジトリにアップロードするコードを含むパッケージを公開しました。悪意のあるコードは、ユーザーの`.zshrc`と`.bashrc`ファイルを修正して、ターミナル起動時に`sudo shutdown -h 0`を実行し、システムをシャットダウンする可能性があります。影響を受けたユーザーは、'nx'パッケージを最新バージョンにすぐに更新し、GitHubで侵害されたリポジトリがないか確認する必要があります。Nxは悪意のあるパッケージを削除し、すべてのnpmパッケージに2FAを必須化し、新しいTrusted Publisherメカニズムを採用するなど、セキュリティ対策を強化しました。
開発