緊急警報:NPMエコシステムが大量のサプライチェーン攻撃を受ける
2025-09-16
人気の@ctrl/tinycolorパッケージ(毎週200万回以上のダウンロード)を含む40個以上のnpmパッケージが、高度なサプライチェーン攻撃を受け、侵害されました。攻撃者は自己増殖メカニズムを使用してダウンストリームの依存関係に感染させ、カスケード状の侵害を引き起こしました。ペイロードはWebpackでバンドルされたスクリプトで、AWS、GCP、GitHubなどのクラウド資格情報と機密情報を盗み、GitHub Actionsを通じて永続的なバックドアを確立します。この攻撃により、広範囲にわたる資格情報の盗難が発生しました。影響を受けたパッケージを確認し、すべての資格情報をローテーションする必要があります。
開発