大規模なNPMパッケージ供給チェーン攻撃:数百万ダウンロードが侵害
2025-09-09
大規模なサプライチェーン攻撃がnpmエコシステムを標的にし、毎週26億回以上ダウンロードされている複数のパッケージを侵害しました。攻撃者はフィッシングメールを使用して保守者のアカウントにアクセスし、その後、広く使用されている複数のパッケージにマルウェアを注入しました。このマルウェアはブラウザ内の暗号通貨取引を傍受し、資金を攻撃者が制御するウォレットに転送します。NPMチームはいくつかの悪意のあるバージョンを削除しましたが、この事件はソフトウェアサプライチェーンの脆弱性と、フィッシングやブラウザベースの攻撃の増加する脅威を浮き彫りにしています。影響は、限られた時間枠での新規インストールユーザーのみに限定されるため、ある程度軽減されました。
開発