人気のNPMパッケージ「is」が、サプライチェーン攻撃によりマルウェアが注入され、攻撃者がデバイスに完全にアクセスできるようになりました。この攻撃は、メンテイナーのアカウントがフィッシングによって奪われ、その後、数時間気付かれずに所有者が無断で変更される形で行われました。「is」は、タイプチェックや値のバリデーションを提供する軽量なJavaScriptユーティリティライブラリです。2025年7月19日に、主なメンテイナーであるジョン・ハーバンド氏が、バージョン3.3.1から5.0.0にマルウェアが含まれていると発表し、約6時間後にそれらは削除されました。この攻撃によって、「eslint-config-prettier」や「eslint-plugin-prettier」など他の複数のパッケージも影響を受けました。「is」には、リモートコード実行を可能にするクロスプラットフォームのJavaScriptマルウェアローダーが含まれていました。研究者たちはメンテイナーの資格情報がさらに侵害される可能性を警告しています。このような攻撃を防ぐためには、メンテイナーはすぐにパスワードをリセットし、トークンを回転させるべきです。また、開発者は2025年7月18日以前の安全が確認されたバージョンのみを使用し、自動更新をオフにすること、ロックファイルを使用して特定の依存関係のバージョンを固定することが推奨されています。
Read more
NPMパッケージ「is」がマルウェアで開発者を感染。
未分類
コメント