#npm
このタグが付いた記事
Index
count=10- セキュリティtheme: テクノロジー
Mastra npm 144 パッケージで大規模供給網攻撃
The Hacker News は 6 月 17 日、AI フレームワーク Mastra の npm スコープが乗っ取られ、144 パッケージに dayjs 偽装ライブラリ「easy-day-js」が依存追加されたと報じました。週次 91 万 DL の @mastra/core を含み、北朝鮮系 APT BlueNoroff との関連も指摘されています。
- セキュリティtheme: テクノロジー
Red Hat の npm パッケージに Miasma ワーム侵入
@redhat-cloud-services スコープの npm パッケージが供給網攻撃で改竄され、32 パッケージ・96 バージョンに認証情報窃取ワーム「Miasma」が混入。週間ダウンロード約 11.7 万件の規模で開発機 / CI 環境を狙う。
- セキュリティtheme: テクノロジー
悪意ある Codex UI npm、週 2.7 万 DL で OpenAI トークン窃取
Aikido Security が、OpenAI Codex 向け人気 npm パッケージ codexui-android が refresh トークンを Sentry 通信を装って外部送信していたと公表しました。
- セキュリティtheme: テクノロジー
CISA、サプライチェーン攻撃3件をKEVに追加
CISA は DAEMON Tools・TanStack・Nx Console を狙ったサプライチェーン攻撃 3 件を Known Exploited Vulnerabilities に追加。FCEB 機関に対処を求めた。
- セキュリティtheme: テクノロジー
Claude 狙う悪性 npm、自身の GitHub トークン流出
Anthropic の Claude が利用するアップロード領域を狙う悪性 npm パッケージが発見された。攻撃者が自身の GitHub トークンを誤って同梱し、追跡可能になった。
- セキュリティtheme: テクノロジー
Socket、$60M Series C で $1B 評価到達 — AI 加速時代の OSS サプライチェーン攻撃を毎週 1000+ ブロック
Thrive Capital 主導の Series C で評価額 $1B に到達。Anthropic / xAI / Cursor 等の AI ネイティブ企業を顧客に、悪性 npm / PyPI パッケージのダウンロード前ブロックを売りにする。
- セキュリティtheme: テクノロジー
Nx Console VS Code 拡張に侵害版 — 開発者の認証情報やClaude設定まで窃取
Nx Console (nrwl.angular-console) v18.95.0 が侵害版として VS Code Marketplace に公開。GitHub / npm / AWS / 1Password / Vault のトークンに加え、~/.claude/settings.json まで狙う 498KB のペイロードを配信していた。
- セキュリティtheme: テクノロジー
TeamPCP が Shai-Hulud ソースを GitHub 公開 ⇒ 5 日後に模倣攻撃が npm 出現 — chalk-tempalte など 4 パッケージ
BleepingComputer は 5 月 18 日、漏洩した Shai-Hulud ワームのソースコードを使った npm 模倣攻撃 4 件を確認したと報じた。TeamPCP が 5 月 12 日に GitHub でソースを公開してから 5 日、難読化すらしない素のクローン chalk-tempalte などが既に流通している。
- セキュリティtheme: テクノロジー
TanStack の npm 42 パッケージが改竄、Mini Shai-Hulud ワーム再燃 ⇒ GitHub Actions の OIDC を窃取
TanStack は 5 月 11 日 19:20 UTC ごろから 6 分間にわたり @tanstack/* 42 パッケージ 84 版が改竄され配布されたと公表しました。攻撃者は pull_request_target 経由で Actions キャッシュを汚染し、ランナー上の Worker プロセスから OIDC トークンをメモリ抽出して正規の SLSA 出所付きでマルウェアを公開。週ダウンロード 1,200 万を超える @tanstack/react-router を含む広範な依存に影響します。
- セキュリティtheme: テクノロジー
Bitwarden CLI npm 改ざん ⇒ Checkmarx 関連サプライチェーン攻撃の続報
Bitwarden の CLI 用 npm パッケージ @bitwarden/cli@2026.4.0 が約 1.5 時間にわたり改ざん配布され、開発者環境の認証情報を窃取するコードが含まれていた。先行する Checkmarx サプライチェーン攻撃の派生事例で、攻撃者は同一の TeamPCP と見られる。初報は 2026-04-22。