権限のある人間を狙い撃ちされると防御はムリ
『「もし週末にデプロイしていたら」と思うとぞっとしました』……それな(´・ω・`)
この件で「うちは大丈夫か」と組み込みOSの製品サポートに聞いてくる顧客は、本事象がどういうものか理解してからお問い合わせしてください!
ローカル実行にしてもこういう脆弱性はあると。怖いなあ
またか
「悪意あるバージョンは約2〜3時間公開されていました」←それで気づいたのも「週間ダウンロード数は1億回」だからか。メンテナーの負担が重くなりそうな予感。「1週間で2つのメジャーパッケージが侵害されました」
古いesbuildでなければ、ignore-scripts=trueでも大丈夫だよ
電話とFaxを駆使して100%安全な仕組みにしましょう
“メンテナーアカウントの侵害は防ぎようがない。依存先を信頼するだけでは不十分”
しかし、npm installを本番レベルで使ってるシステムたくさんあるんだな
やっぱライブラリは全部ローカル保存してパッチバージョンまで指定、開発者はインターネット接続を遮断してやっていかないとな!はぁ
これ仕込んだ北朝鮮の要員はたとえ下っ端でも西側に亡命して「私がやりました」言えば物凄い高給でセキュリティ部門に雇ってもらえそう
記事にもあるけどCI回すときはlock.json使ってるはずで少なくともデプロイでバージョン変わるプロジェクトはそもそも論外なので今すぐ見直しましょう。
pnpm前提のロックファイルやminReleaseAge設定を置いているaxios入りソースでnpm install(pnpm-lockが適用されない)を実行した人が居て、タイミングによっては影響受けるところだった…とりあえずスクリプト無視するnpmrcを追加
axiosのっとり
“CI/CDパイプラインの防御(LiteLLMの教訓)” 確かにではあるけど、一手間ではあるなあ。
2026年3月31日、人気npmパッケージaxiosが39分間で乗っ取り。悪意あるコードが自動実行されるpostinstallフックで配布。CI/CDも含め、lockfile管理やnpm ci、署名検証で対策必須。
axios乗っ取り事件の全容 — 39分間で何が起きたか、そして今すぐやるべき防御策 - Qiita
権限のある人間を狙い撃ちされると防御はムリ
『「もし週末にデプロイしていたら」と思うとぞっとしました』……それな(´・ω・`)
この件で「うちは大丈夫か」と組み込みOSの製品サポートに聞いてくる顧客は、本事象がどういうものか理解してからお問い合わせしてください!
ローカル実行にしてもこういう脆弱性はあると。怖いなあ
またか
「悪意あるバージョンは約2〜3時間公開されていました」←それで気づいたのも「週間ダウンロード数は1億回」だからか。メンテナーの負担が重くなりそうな予感。「1週間で2つのメジャーパッケージが侵害されました」
古いesbuildでなければ、ignore-scripts=trueでも大丈夫だよ
電話とFaxを駆使して100%安全な仕組みにしましょう
“メンテナーアカウントの侵害は防ぎようがない。依存先を信頼するだけでは不十分”
しかし、npm installを本番レベルで使ってるシステムたくさんあるんだな
やっぱライブラリは全部ローカル保存してパッチバージョンまで指定、開発者はインターネット接続を遮断してやっていかないとな!はぁ
これ仕込んだ北朝鮮の要員はたとえ下っ端でも西側に亡命して「私がやりました」言えば物凄い高給でセキュリティ部門に雇ってもらえそう
記事にもあるけどCI回すときはlock.json使ってるはずで少なくともデプロイでバージョン変わるプロジェクトはそもそも論外なので今すぐ見直しましょう。
pnpm前提のロックファイルやminReleaseAge設定を置いているaxios入りソースでnpm install(pnpm-lockが適用されない)を実行した人が居て、タイミングによっては影響受けるところだった…とりあえずスクリプト無視するnpmrcを追加
axiosのっとり
“CI/CDパイプラインの防御(LiteLLMの教訓)” 確かにではあるけど、一手間ではあるなあ。
2026年3月31日、人気npmパッケージaxiosが39分間で乗っ取り。悪意あるコードが自動実行されるpostinstallフックで配布。CI/CDも含め、lockfile管理やnpm ci、署名検証で対策必須。