技術 2026年5月12日(火) 更新 約22分 Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン 2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月11日(月) 約9分 pnpm vs npm vs yarn 2026をNext.jsモノレポの実測で比べる Next.js 16 + Shadcn/ui + Railwayのモノレポ実測で、キャッシュなしCIのinstallがpnpmでnpmの半分以下になる一方、Radix UIの未宣言依存で壊れる場面まで出ていた。速度よりhoisting設定を読む記事。 pnpm npm Node.js Next.js TypeScript Build Tools Bun
技術 2026年4月13日(月) 更新 約5分 axiosがprototype pollutionのgadgetとしてHTTPヘッダ注入を許していた CVE-2026-40175 CVE-2026-40175: 3月のサプライチェーン侵害とは別件。axiosの設定マージがprototype pollution経由の汚染値をHTTPヘッダに流し、CRLF注入からSSRFまで連鎖する。1.15.0で修正済み。 セキュリティ npm Node.js CVE
技術 2026年4月5日(日) 約12分 偽Strapiプラグイン36個がRedis RCEとPostgreSQL窃取で暗号資産取引所を狙い撃ちにしていた npmレジストリにStrapi CMSプラグインを装った36の悪性パッケージが公開された。8種のペイロードがRedis経由のcrontab注入、PostgreSQL直接接続、リバースシェル、永続インプラントを展開。標的は暗号資産取引所Guardarianとみられる。 セキュリティ npm サプライチェーン マルウェア Redis
技術 2026年4月5日(日) 約7分 axiosは単発ではなかった、UNC1069は「Openfort」名義でFastifyやLodash、dotenvのメンテナまで狙っていた axios侵害の続報。GitHub issue、Socket、Google、Microsoftの公開情報を突き合わせると、UNC1069/Sapphire SleetはMocha、Fastify、Lodash、dotenv、Node.jsコア関係者まで同じソーシャルエンジニアリングで接触していた。確認できた標的と共通パターンを整理する。 セキュリティ npm Node.js サプライチェーン ソーシャルエンジニアリング
技術 2026年4月3日(金) 約8分 axiosメンテナが語った北朝鮮UNC1069の手口、偽Slackに招待されTeams会議でRATを踏んだ axiosポストモーテムでメンテナJason Saaymanが語ったソーシャルエンジニアリングの全容。偽企業のSlackワークスペース、偽Teams会議、RAT経由の端末掌握。2FAもOIDCも突破された。 セキュリティ npm サプライチェーン ソーシャルエンジニアリング RAT
技術 2026年4月1日(水) 更新 約5分 Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚 Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。 セキュリティ Claude Code OpenAI npm サプライチェーン
技術 2026年3月31日(火) 更新 約10分 週間1億DLのaxiosがnpmで乗っ取られ、クロスプラットフォームRATを投下 axios 1.14.1と0.30.4にpostinstallフック経由でRATドロッパーを仕込む偽依存関係plain-crypto-jsが注入された。メンテナアカウント侵害からC2通信、自己消去までの攻撃チェーン全容。 セキュリティ npm サプライチェーン マルウェア RAT
技術 2026年3月15日(日) 約9分 GlassWormがOpen VSXで急拡大、拡張機能の依存関係を悪用したトランジティブ感染に手口が進化 Open VSX拡張機能72件・GitHubリポジトリ151件・npmパッケージ88件に及ぶGlassWormキャンペーンの拡大と、extensionDependenciesを踏み台にした新たなサプライチェーン手口の詳細。 セキュリティ サプライチェーン VS Code マルウェア npm
技術 2026年3月6日(金) 約15分 Clinejection: GitHubイシュータイトルから4000台の開発マシンにAIエージェントが降ってきた攻撃の全容 GitHubイシュータイトルへのプロンプトインジェクションを起点に、AIトリアージbot経由でnpmトークンを窃取し、悪意あるパッケージを公開した5段階の攻撃チェーンの詳細。 セキュリティ サプライチェーン npm Prompt Injection AIエージェント OpenClaw
技術 2026年3月4日(水) 約10分 「StegaBin」がPastebinのゼロ幅文字でC2を隠蔽し悪意あるnpmパッケージを配布 北朝鮮系Famous ChollimaがContagious Interviewキャンペーンの延長で26個のnpmパッケージを公開。Pastebinのエッセイにゼロ幅Unicode文字でC2を隠蔽し、31のVercelデプロイメント経由で9モジュールRATを展開する。 セキュリティ npm サプライチェーン マルウェア North Korea
技術 2026年2月26日(木) 約6分 Cisco SD-WAN CVSS 10.0にClaude脆弱性3件、NuGet/npmサプライチェーン攻撃 Cisco SD-WAN認証バイパスとUAT-8616の3年間の継続攻撃、NuGet/npmサプライチェーン攻撃、Claude Code/Desktop Extensions/メキシコ政府侵害を扱う。 Security Cisco CVE Supply Chain npm NuGet Security Claude
