技術 2026年5月31日(日) 約8分 npm・PyPI・Crates.ioをまたぐTrapDoorが、Rustのbuild.rsとSui/Moveのキーストアを狙う暗号資産ステイラー SocketがTrapDoorとして追跡する34パッケージは、npmのpostinstall・PyPIのimport時実行・Crates.ioのbuild.rsを同時に使うクロスレジストリ型の暗号資産ステイラー。Sui/Move/Solana/Aptos開発者の鍵を主目的に、レジストリごとに発火点も暗号化方式も違う点を整理した。 セキュリティ npm PyPI Rust サプライチェーン マルウェア AIエージェント
技術 2026年5月20日(水) 約9分 Mini Shai-Huludが@antvへ拡散、依存を戻してもClaude Code/VS Codeに痕跡が残る Mini Shai-Huludの新しい波が@antv系npm 314パッケージに広がった。依存を戻したあとも、Claude CodeのSessionStart hookとVS Codeのfolder openタスクに起動経路が残る。端末側の永続化IoCと、ローテーション前のネットワーク隔離手順まで。 セキュリティ npm サプライチェーン マルウェア Claude Code
技術 2026年5月19日(火) 更新 約9分 pnpm 11がminimumReleaseAgeをデフォルト化、Yarn 4.10とnpm v11.10で同じ防御を書いてShai-Hulud波のinstallを止める pnpm 11.0はminimumReleaseAge 1440分(1日)をデフォルトON、Yarn 4.10はnpmMinimalAgeGate 3日をデフォルト化、npm v11.10は明示設定。Axios(4-5時間)、debug+chalk波(2.5時間)、Shai-Hulud 2.0(12時間)の短い露出窓を踏まえた現実的な設定値と、ignore-scriptsでesbuild・sharp・node-gypが壊れるパターンの回避策 セキュリティ npm pnpm サプライチェーン Node.js
技術 2026年5月17日(日) 更新 約11分 Shai-HuludワームがGitHubでオープンソース化、TeamPCPがBreachForumsで派生攻撃チャレンジを開催 2026年5月12日にTeamPCPがShai-HuludワームをGitHub公開。Datadog解析でモジュール構成(Loader/Provider/Collector/Dispatcher/Sender/Mutator)とClaude Code SessionStartフック実装が判明、5月15日にBreachForumsで金銭報酬付き派生攻撃チャレンジが始動、コピーキャットによるFreeBSD対応PRも既に投下。検知の追加ポイントまで整理 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月15日(金) 約8分 node-ipc 9.1.6、9.2.3、12.0.1に開発者シークレット窃取バックドア node-ipcの悪意ある3バージョンはpostinstallではなくCommonJSのrequire時に動く。9.xと12.0.1の実行条件、lockfile、__ntwプロセス、DNS TXT流出の痕跡まで確認する。 セキュリティ npm サプライチェーン マルウェア
技術 2026年5月12日(火) 更新 約29分 Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン 2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月11日(月) 約9分 pnpm vs npm vs yarn 2026をNext.jsモノレポの実測で比べる Next.js 16 + Shadcn/ui + Railwayのモノレポ実測で、キャッシュなしCIのinstallがpnpmでnpmの半分以下になる一方、Radix UIの未宣言依存で壊れる場面まで出ていた。速度よりhoisting設定を読む記事。 pnpm npm Node.js Next.js TypeScript Build Tools Bun
技術 2026年4月13日(月) 更新 約6分 axiosがprototype pollutionのgadgetとしてHTTPヘッダ注入を許していた CVE-2026-40175 CVE-2026-40175: 3月のサプライチェーン侵害とは別件。axiosの設定マージがprototype pollution経由の汚染値をHTTPヘッダに流し、CRLF注入からSSRFまで連鎖する。1.15.0で修正済み。 セキュリティ npm Node.js CVE
技術 2026年4月5日(日) 約12分 偽Strapiプラグイン36個がRedis RCEとPostgreSQL窃取で暗号資産取引所を狙い撃ちにしていた npmレジストリにStrapi CMSプラグインを装った36の悪性パッケージが公開された。8種のペイロードがRedis経由のcrontab注入、PostgreSQL直接接続、リバースシェル、永続インプラントを展開。標的は暗号資産取引所Guardarianとみられる。 セキュリティ npm サプライチェーン マルウェア Redis
技術 2026年4月5日(日) 約7分 axiosは単発ではなかった、UNC1069は「Openfort」名義でFastifyやLodash、dotenvのメンテナまで狙っていた axios侵害の続報。GitHub issue、Socket、Google、Microsoftの公開情報を突き合わせると、UNC1069/Sapphire SleetはMocha、Fastify、Lodash、dotenv、Node.jsコア関係者まで同じソーシャルエンジニアリングで接触していた。確認できた標的と共通パターンを整理する。 セキュリティ npm Node.js サプライチェーン ソーシャルエンジニアリング
技術 2026年4月3日(金) 約8分 axiosメンテナが語った北朝鮮UNC1069の手口、偽Slackに招待されTeams会議でRATを踏んだ axiosポストモーテムでメンテナJason Saaymanが語ったソーシャルエンジニアリングの全容。偽企業のSlackワークスペース、偽Teams会議、RAT経由の端末掌握。2FAもOIDCも突破された。 セキュリティ npm サプライチェーン ソーシャルエンジニアリング RAT
技術 2026年4月1日(水) 更新 約5分 Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚 Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。 セキュリティ Claude Code OpenAI npm サプライチェーン
