不正なnpmパッケージが侵害されたGitHub Actionsワークフローによって公開されました
2025-09-18
悪意のあるGitHub Actionsワークフローが、共有リポジトリから広範な公開権限を持つnpmトークンを盗み出し、人気のある@ctrl/tinycolorを含む20個のパッケージの悪意のあるバージョンを公開しました。著者のGitHubアカウントとリポジトリは直接侵害されていませんでしたが、共有リポジトリに対する管理者アクセス権を持つコラボレーターが攻撃を成功させることを可能にしました。攻撃者は、npmトークンを含むGitHub Actionsシークレットを悪用しました。GitHubとnpmのセキュリティチームは迅速に対応し、悪意のあるパッケージの公開を停止しました。著者はキャッシュをクリアするためにクリーンバージョンをリリースしました。このインシデントは、共有リポジトリと静的トークンのリスクを浮き彫りにし、セキュリティ強化のためにnpmのTrusted Publishing(OIDC)への移行を促進しています。
(sigh.dev)
開発