技術 2026年6月24日(水) 約8分 npmに2FA承認つきstaged publishingとinstall元制限が入った npm CLI 11.15.0でstaged publishingがGAになり、CIからstage queueへ出したtarballをメンテナが2FA承認してから公開できる。--allow-remoteなどのinstall元制限と、age gateやallowScriptsとの違いも確認する。 セキュリティ npm サプライチェーン Node.js GitHub
技術 2026年6月20日(土) 約7分 npmアカウントaiの7パッケージは週964Mダウンロードでprovenance未設定 PostCSS、nanoid、browserslistなどを公開するnpmアカウントaiの集中リスクを見る。provenance未設定、staged releases移行中、TanStackやMastraとの違いから、依存側で確認する差分を絞る。 セキュリティ npm サプライチェーン Node.js
技術 2026年6月18日(木) 約9分 Chainguardがnpmグレーウェアを検知し5万2,000件超を遮断 Chainguardのグレーウェアスキャナ発表を、npmの公開経過時間ゲートやnpm v12 allowScriptsの範囲外として読む。5万2,000件超の遮断、npmの公開例、開発端末とCIで確認する差分まで。 セキュリティ npm サプライチェーン OSS マルウェア
技術 2026年6月18日(木) 約8分 Mastraのnpm侵害はeasy-day-js依存でpostinstall発火、公式116件・外部143〜144件 Mastraの@mastra/*侵害は、正規パッケージ本体ではなくeasy-day-js依存のpostinstallが入口。公式116件・外部143〜144件の差、npmトークンpublish、provenance欠落、age gateとallowScriptsで止まる範囲を確認する。 セキュリティ npm サプライチェーン マルウェア AIエージェント Node.js
技術 2026年6月15日(月) 約10分 npm v12でinstall scriptsが既定で停止、allowScriptsとapprove-scriptsの移行手順 2026年7月予定のnpm v12でpreinstall、postinstall、binding.gypの暗黙node-gypが未許可なら停止。npm 11.16.0でapprove-scriptsを実行し、allowScripts、--allow-git、--allow-remoteをCI前に確認する。 セキュリティ npm サプライチェーン Node.js
技術 2026年6月11日(木) 約10分 Microsoft系73リポジトリ停止、MiasmaはAIエージェント起動へ GitHubが2026年6月5日にMicrosoft系73リポジトリを停止。Azure/durabletaskへの悪意あるコミットはnpm installではなく、Claude Code、Gemini CLI、Cursor、VS Codeの設定読み込みで発火する。 セキュリティ npm サプライチェーン マルウェア Microsoft AIエージェント
技術 2026年5月31日(日) 約8分 npm・PyPI・Crates.ioをまたぐTrapDoorが、Rustのbuild.rsとSui/Moveのキーストアを狙う暗号資産ステイラー SocketがTrapDoorとして追跡する34パッケージは、npmのpostinstall・PyPIのimport時実行・Crates.ioのbuild.rsを同時に使うクロスレジストリ型の暗号資産ステイラー。Sui/Move/Solana/Aptos開発者の鍵を主目的に、レジストリごとに発火点も暗号化方式も違う点を整理した。 セキュリティ npm PyPI Rust サプライチェーン マルウェア AIエージェント
技術 2026年5月20日(水) 約9分 Mini Shai-Huludが@antvへ拡散、依存を戻してもClaude Code/VS Codeに痕跡が残る Mini Shai-Huludの新しい波が@antv系npm 314パッケージに広がった。依存を戻したあとも、Claude CodeのSessionStart hookとVS Codeのfolder openタスクに起動経路が残る。端末側の永続化IoCと、ローテーション前のネットワーク隔離手順まで。 セキュリティ npm サプライチェーン マルウェア Claude Code
技術 2026年5月19日(火) 更新 約9分 pnpm 11がminimumReleaseAgeをデフォルト化、Yarn 4.10とnpm v11.10で同じ防御を書いてShai-Hulud波のinstallを止める pnpm 11.0はminimumReleaseAge 1440分(1日)をデフォルトON、Yarn 4.10はnpmMinimalAgeGate 3日をデフォルト化、npm v11.10は明示設定。Axios(4-5時間)、debug+chalk波(2.5時間)、Shai-Hulud 2.0(12時間)の短い露出窓を踏まえた現実的な設定値と、ignore-scriptsでesbuild・sharp・node-gypが壊れるパターンの回避策 セキュリティ npm pnpm サプライチェーン Node.js
技術 2026年5月17日(日) 更新 約11分 Shai-HuludワームがGitHubでオープンソース化、TeamPCPがBreachForumsで派生攻撃チャレンジを開催 2026年5月12日にTeamPCPがShai-HuludワームをGitHub公開。Datadog解析でモジュール構成(Loader/Provider/Collector/Dispatcher/Sender/Mutator)とClaude Code SessionStartフック実装が判明、5月15日にBreachForumsで金銭報酬付き派生攻撃チャレンジが始動、コピーキャットによるFreeBSD対応PRも既に投下。検知の追加ポイントまで整理 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月15日(金) 約8分 node-ipc 9.1.6、9.2.3、12.0.1に開発者シークレット窃取バックドア node-ipcの悪意ある3バージョンはpostinstallではなくCommonJSのrequire時に動く。9.xと12.0.1の実行条件、lockfile、__ntwプロセス、DNS TXT流出の痕跡まで確認する。 セキュリティ npm サプライチェーン マルウェア
技術 2026年5月12日(火) 更新 約29分 Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン 2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新 セキュリティ npm サプライチェーン マルウェア GitHub Actions
