Phylumにより発見された悪意のあるnpmパッケージの一覧は次のとおり。 ethers-mew ethers-web3 ethers-6 ethers-eth ethers-aaa ethers-audit ethers-test これらのうち「ethers-mew」が最新かつ完全版のパッケージとされ、他はテスト目的で公開されたパッケージと推測されている。

JavaScriptやReact周辺の開発で広く使われているライブラリ群「TanStack」のnpmパッケージに、攻撃者がマルウェア入りのバージョンを公開するサプライチェーン攻撃が行われました。TanStack公式の事後報告によると、攻撃者は2026 ...

セキュリティ企業のReversingLabsは7月5日(米国時間)、「IconBurst NPM software supply chain attack grabs data from apps and websites」において、悪意のあるnpm（Node Package Manager）パッケージを利用したソフトウェアサプライチェーン攻撃について報告した。「IconBurst」と名付け ...

Microsoft傘下のGitHubは米国時間3月16日、パッケージ管理ツールnpm（Node Package Manager）の開発元であるnpm Inc.を買収すると発表した（両社ともに買収金額は公表していない）。Microsoftは、GitHubとnpmを統合し、JavaScript開発者にとってさらに魅力的なコミュニティー ...

4月末ごろからnpmパッケージを標的にした「Mini Shai-Hulud ...

Node.jsのパッケージ管理システム「npm」の開発者アカウントが乗っ取られ、多数のパッケージにマルウェアが注入されたこと ...

対象となるパッケージは非常に人気のある18個のパッケージで、週間ダウンロード数は全部合わせて26億回に上ります。 この事象が検出されて以降、npmチームは攻撃者によって公開された悪意のあるバージョンのいくつかを削除しました。

この記事は会員限定です。会員登録すると全てご覧いただけます。 Socketは2025年9月16日（現地時間）、CrowdStrike関連の複数のnpmパッケージが改ざんされていたことを公表した。「Shai-Halud攻撃」と呼ばれるサプライチェーン攻撃とされ、過去にJavaScript ...

米GitHubは3月16日（現地時間）、「Node.js」のパッケージ管理システム「npm」をメンテナンスする会社npm, Inc.を買収したと発表した。同社は2013年末、寄付で賄いきれなくなった「npm」プロジェクトの資金調達のために設立。パッケージマネージャーや「npm ...

この記事は会員限定です。会員登録すると全てご覧いただけます。 オープンソースソフトウェアのエコシステム活用が進む中、サイバー犯罪者は人気のあるバージョン管理システムやホスティングサービスをサイバー攻撃に利用している。こうしたサイバー ...