tag

#npm

このタグが付いた記事

Index

count=10
  1. セキュリティtheme: テクノロジー

    Mastra npm 144 パッケージで大規模供給網攻撃

    The Hacker News は 6 月 17 日、AI フレームワーク Mastra の npm スコープが乗っ取られ、144 パッケージに dayjs 偽装ライブラリ「easy-day-js」が依存追加されたと報じました。週次 91 万 DL の @mastra/core を含み、北朝鮮系 APT BlueNoroff との関連も指摘されています。

  2. セキュリティtheme: テクノロジー

    Red Hat の npm パッケージに Miasma ワーム侵入

    @redhat-cloud-services スコープの npm パッケージが供給網攻撃で改竄され、32 パッケージ・96 バージョンに認証情報窃取ワーム「Miasma」が混入。週間ダウンロード約 11.7 万件の規模で開発機 / CI 環境を狙う。

  3. セキュリティtheme: テクノロジー

    悪意ある Codex UI npm、週 2.7 万 DL で OpenAI トークン窃取

    Aikido Security が、OpenAI Codex 向け人気 npm パッケージ codexui-android が refresh トークンを Sentry 通信を装って外部送信していたと公表しました。

  4. セキュリティtheme: テクノロジー

    CISA、サプライチェーン攻撃3件をKEVに追加

    CISA は DAEMON Tools・TanStack・Nx Console を狙ったサプライチェーン攻撃 3 件を Known Exploited Vulnerabilities に追加。FCEB 機関に対処を求めた。

  5. セキュリティtheme: テクノロジー

    Claude 狙う悪性 npm、自身の GitHub トークン流出

    Anthropic の Claude が利用するアップロード領域を狙う悪性 npm パッケージが発見された。攻撃者が自身の GitHub トークンを誤って同梱し、追跡可能になった。

  6. セキュリティtheme: テクノロジー

    Socket、$60M Series C で $1B 評価到達 — AI 加速時代の OSS サプライチェーン攻撃を毎週 1000+ ブロック

    Thrive Capital 主導の Series C で評価額 $1B に到達。Anthropic / xAI / Cursor 等の AI ネイティブ企業を顧客に、悪性 npm / PyPI パッケージのダウンロード前ブロックを売りにする。

  7. セキュリティtheme: テクノロジー

    Nx Console VS Code 拡張に侵害版 — 開発者の認証情報やClaude設定まで窃取

    Nx Console (nrwl.angular-console) v18.95.0 が侵害版として VS Code Marketplace に公開。GitHub / npm / AWS / 1Password / Vault のトークンに加え、~/.claude/settings.json まで狙う 498KB のペイロードを配信していた。

  8. セキュリティtheme: テクノロジー

    TeamPCP が Shai-Hulud ソースを GitHub 公開 ⇒ 5 日後に模倣攻撃が npm 出現 — chalk-tempalte など 4 パッケージ

    BleepingComputer は 5 月 18 日、漏洩した Shai-Hulud ワームのソースコードを使った npm 模倣攻撃 4 件を確認したと報じた。TeamPCP が 5 月 12 日に GitHub でソースを公開してから 5 日、難読化すらしない素のクローン chalk-tempalte などが既に流通している。

  9. セキュリティtheme: テクノロジー

    TanStack の npm 42 パッケージが改竄、Mini Shai-Hulud ワーム再燃 ⇒ GitHub Actions の OIDC を窃取

    TanStack は 5 月 11 日 19:20 UTC ごろから 6 分間にわたり @tanstack/* 42 パッケージ 84 版が改竄され配布されたと公表しました。攻撃者は pull_request_target 経由で Actions キャッシュを汚染し、ランナー上の Worker プロセスから OIDC トークンをメモリ抽出して正規の SLSA 出所付きでマルウェアを公開。週ダウンロード 1,200 万を超える @tanstack/react-router を含む広範な依存に影響します。

  10. セキュリティtheme: テクノロジー

    Bitwarden CLI npm 改ざん ⇒ Checkmarx 関連サプライチェーン攻撃の続報

    Bitwarden の CLI 用 npm パッケージ @bitwarden/cli@2026.4.0 が約 1.5 時間にわたり改ざん配布され、開発者環境の認証情報を窃取するコードが含まれていた。先行する Checkmarx サプライチェーン攻撃の派生事例で、攻撃者は同一の TeamPCP と見られる。初報は 2026-04-22。