JSer.info #748 - pnpm 10.16がリリースされました。

損害保険ジャパンは26日、損害調査業務などを委託する東京損保鑑定（東京・千代田）から3万8000件の個人情報が漏洩した恐れがあると発表した。東京損保鑑定が受けた身代金要求型ウイルスのランサムウエア攻撃の調査結果の報告を受けた。損保ジャパンは火災保険などの財物損壊の鑑定を委託していた。保険契約や事故の内

情報処理推進機構（IPA）は、2025年2月14日、全国の中小企業4191社を対象とした、2024年度の「中小企業における情報セキュリティ対策の実態調査報告書」の結果を公表した。

After a 180% rise in last year’s report, the exploitation of vulnerabilities continues to grow, now accounting for 20% of all breaches

戦略情報サービスを提供する企業によれば中国企業が北朝鮮のIT技術者を先進国の企業に売り込んでいるという。このような事態を回避するにはどうすればよいのだろうか。

史上最大のサプライチェーン攻撃と呼ばれる今回の事件では、攻撃者がフィッシング攻撃によってメンテナーのアカウントを侵害し、週26億回以上ダウンロードされるNPMパッケージにマルウェアを注入しました。 このサプライチェーン攻撃でアカウントが乗っ取られたパッケージのメンテナーの一人が、本日早くにこの事件を確認し、侵害を認識していたこと、またフィッシングメールがsupport npmjs helpから送られてきたことを明らかにしました。このドメインは正規のnpmjs.comドメインを偽装したウェブサイトをホストしています。 攻撃者はメールの中で、対象となったメンテナーのアカウントが2025年9月10日にロックされると脅し、フィッシングサイトへ誘導するリンクをクリックさせようとしました。 「アカウントのセキュリティ強化のため、すべてのユーザーに二要素認証（2FA）の認証情報を更新していただくようお願いしています。当社の記録によると、前回の2FA更新から12か月以上が経過しています。」とフィッシングメールには書かれていました。 「アカウントのセキュリティと整合性を維持するため、できるだけ早くこの更新を完了していただきますようお願いいたします。なお、2FA認証情報が古いアカウントは、2025年9月10日から一時的にロックされ、不正アクセス防止のため利用できなくなりますのでご注意ください。」 このサプライチェーン攻撃を分析したAikido Securityによると、脅威アクターはパッケージの管理権限を奪取した後、index.jsファイルに悪意のあるコードを注入し、ブラウザベースのインターセプターとして機能するようにしました。これによりネットワークトラフィックやアプリケーションAPIの乗っ取りが可能になります。 この悪意のあるコードは、侵害されたアプリケーションにウェブ経由でアクセスするユーザーのみに影響し、暗号通貨アドレスや取引を監視して、それらを攻撃者が管理するウォレットアドレスへリダイレクトします。これにより、本来送信されるべきアドレスではなく、攻撃者のアドレスに取引が乗っ取られることになります。 このマルウェアはウェブブラウザに自身を注入することで動作し、Ethereum、Bitcoin、Solana、Tron、Litecoin、Bitcoin Cashのウォレットアドレスや送金を監視します。暗号通貨取引を含むネットワークレスポンスがあると、宛先を攻撃者のアドレスに書き換え、署名される前に取引を乗っ取ります。 これまでに乗っ取られたパッケージは、合計で週26億回以上ダウンロードされています： backslash（週26万ダウンロード） chalk-template（週390万ダウンロード） supports-hyperlinks（週1920万ダウンロード） has-ansi（週1210万ダウンロード） simple-swizzle（週2626万ダウンロード） color-string（週2748万ダウンロード） error-ex（週4717万ダウンロード） color-name（週1億9171万ダウンロード） is-arrayish（週7380万ダウンロード） slice-ansi（週5980万ダウンロード） color-convert（週1億9350万ダウンロード） wrap-ansi（週1億9799万ダウンロード） ansi-regex（週2億4364万ダウンロード） supports-color（週2億8710万ダウンロード） strip-ansi（週2億6117万ダウンロード） chalk（週2億9999万ダウンロード） debug（週3億5760万ダウンロード） ansi-styles（週3億7141万ダウンロード） 「これらのパッケージは、ウェブサイトのクライアント側で実行されるコードが追加されており、ブラウザ内で暗号資産やweb3の活動を密かに傍受し、ウォレットの操作を改ざんし、支払い先を攻撃者のアカウントに書き換えることで、ユーザーに気付かれずに資金や承認が攻撃者にリダイレクトされるようになっています」とAikido Securityのリサーチャー、チャーリー・エリクセン氏は述べています。 「この攻撃が危険なのは、複数のレイヤーで動作する点です。ウェブサイト上の表示内容の改ざん、APIコールの改ざん、ユーザーのアプリが署名しようとしている内容の改ざんなどが行われます。」 このサプライチェーン攻撃は、ここ数か月の間にさまざまな有名JavaScriptライブラリの開発者を標的とした同様の攻撃が続いている中で発生しました。 例えば、7月には攻撃者がeslint-config-prettier（週3,000万回以上ダウンロードされるパッケージ）を侵害し、3月には他の広く使われている10個のnpmライブラリが乗っ取られ、情報窃取マルウェアに変えられました。 この記事は現在進行中です… 翻訳元:

はじめに お久しぶりです @___nix___ です。 背景 npmパッケージは、JavaScript/Node.js開発に欠かせない再利用可能な部品として、フロントエンドからサーバーサイドまで幅広く活用されてきました。共通処理を効率的に共有できる仕組みは、開発速度とエコシステム拡大を支える基盤となっています。 概要 npmエコシステムを支える多数の人気パッケージが、2025年9月に大規模なサプライチェーン攻撃「Shai-Hulud」の標的となりました。攻撃者は管理者アカウントを乗っ取り、187以上のnpmパッケージへ自己増殖型マルウェアを仕込み、依存関係を通じて被害を急拡大... Source link

Python Software Foundationチームは、9月初旬に発生したGhostActionサプライチェーン攻撃で盗まれたすべてのPyPIトークンを無効化し、攻撃者がそれらを悪用してマルウェアを公開していなかったことを確認しました。 これらのトークンは、Python Package Index（PyPI）にパッケージを公開するために使用されます。PyPIは、Pythonのパッケージ管理ツールのデフォルトソースとして機能し、数十万のパッケージをホストするソフトウェアリポジトリです。 PyPI管理者のMike Fiedlerによると、GitGuardianの従業員が9月5日に、悪意のあるGitHub Actionsワークフロー（FastUUIDなど）がPyPIトークンをリモートサーバーに流出させようとしたことを報告しました。同じ日に別のGitGuardian研究者も追加の調査結果をPyPIセキュリティチームにメールしましたが、そのメッセージは迷惑メールフォルダに入ってしまい、インシデント対応が9月10日まで遅れることとなりました。 GitGuardianはサプライチェーン攻撃の全容を把握するとすぐに、影響を受けた570以上のリポジトリでGitHub issueを作成し、GitHub、npm、PyPIのセキュリティチームに通知しました。 多くのプロジェクト管理者は、GitGuardianからの通知を受けてPyPIトークンのローテーション、Actionsワークフローの変更の元に戻す、または影響を受けたワークフローの削除などの対応を行いました。PyPIチームは調査中にPyPIリポジトリが侵害された証拠を発見しませんでしたが、影響を受けたすべての公開用トークンを無効化し、プロジェクトオーナーに連絡してアカウントの安全確保を支援しました。 しかし、GitGuardianは当時、GhostActionキャンペーンで3,300以上のシークレットが盗まれたと推定しており、PyPI、npm、DockerHub、GitHub、CloudflareのAPIトークンや、AWSアクセスキー、データベース認証情報なども含まれていました。 「この分析により、Rustクレートやnpmパッケージなど、複数のパッケージエコシステムでトークンが侵害されていたことが判明しました」とGitGuardianは述べています。「いくつかの企業では、Python、Rust、JavaScript、Goのリポジトリが同時に悪意のあるワークフローの影響を受け、SDKポートフォリオ全体が侵害されていました。」 GhostActionキャンペーンで侵害されたシークレット（GitGuardian） 火曜日、FiedlerはGitHub Actionsを利用しているPyPIパッケージ管理者に対し、この種の攻撃への防御策として、長期間有効なトークンを短期間有効なTrusted Publishersトークンに置き換えるよう助言しました。さらに、アカウントにログインし、セキュリティ履歴に不審な活動がないか確認するよう呼びかけました。 「PyPIアカウントが侵害されていないことを確認した後、9月15日に影響を受けたプロジェクトの管理者に連絡し、状況を通知するとともに、トークンが無効化されたこと、今後のプロジェクト保護のためにGitHub ActionsとTrusted Publishersの利用を推奨しました」とFiedlerは述べています。 「攻撃者は、さまざまなリポジトリを標的とし、多くのリポジトリでPyPIトークンがGitHubシークレットとして保存されていたため、ワークフローを改変してそれらのトークンを外部サーバーに送信していました。攻撃者はいくつかのトークンの流出には成功しましたが、それらがPyPIで使用された形跡はありません。」 8月には、攻撃者がNxリポジトリ（非常に人気のあるビルドシステムおよびモノレポ管理ツール）で使われていた不備のあるGitHub Actionsワークフローを悪用し、別のサプライチェーン攻撃（s1ngularityと呼ばれる）を実行し、2,180アカウントと7,200リポジトリが影響を受けました。 その1か月前にも、Python Software Foundationは、偽のPython Package Index（PyPI）サイトを使ったフィッシングキャンペーンによって、ユーザーの認証情報が盗まれようとしていると警告していました。 翻訳元:

Learn about the ongoing Shai Hulud npm supply chain attack, including all currently known compromised packages

ここ数ヶ月でサプライチェーン攻撃に関連していくつかベストプラクティスが出ていたので、GitHubのリポジトリに適用しておいたほうがいいものをまとめた。 被害を受けないために Dependabotにcooldownを設定する 過去のサプライチェーン攻撃では、ほとんどは問題のあるリリースが公開されてから数時間で発見されているので、自分のリポジトリが汚染されないためにリリースから一定期間はアップデートを保留するという手段が取られるようになったと記憶している。もともとRenovateには minimumReleaseAge オプションがあったのだが、Dependabotでも cooldown オプショ…

F5社の重要製品「BIG-IP」が国家支援のハッカーに攻撃され、設計図にあたるソースコードが流出。米サイバーセキュリティ当局CISAは「差し迫ったリスク」があるとして全政府機関に緊急指令を発令しました。現代社会の根幹を揺るがすサプライチェーン攻撃の最新動向とその対策を専門家が分かりやすく解説します。

The tj-actions/changed-files GitHub Action, which is used in 23,000 repositories, has been targeted in a supply chain attack.

mise, like asdf before it, had a major problem regarding supply chain security. This is now a solved problem in mise and I think it's probably the top reason to consider switching to mise from asdf...

A new cyber campaign orchestrated by North Korean threat actors has been exposed by the Socket Threat Research Team.

パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使うnpmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル（例: package-

アスクルへの大規模ランサムウェア攻撃で、ハッカー集団「ランサムハウス」が10月30日に犯行声明を発表。1.1テラバイトのデータ窃取を主張し、既にダークウェブで公開。無印良品、ロフト、そごう・西武など多数の大型チェーンの配送が停止。サプライチェーン全体の脆弱性を露呈。

A new supply chain attack targets Ethereum tools, exploiting npm packages to steal sensitive data