タグ: npmサプライチェーン攻撃

gbhackers.com

タイポスクワッティングnpmパッケージを悪用、Web3プロジェクトと暗号資産ウォレット運営者を標的にしたハッカー集団

ハッカー集団が、タイポスクワッティング(名前の誤記を狙った)npmパッケージを用いて、Web3開発チームがオープンソースの依存関係に寄せる信頼を武器に変えています。通常のパッケージインストールが、ウォレット窃取・機密情報の収集・段階的なマルウェア配布への入口となっています。 このキャンペーンが特に危険なのは、Ethe

bleepingcomputer.com

npmサプライチェーン攻撃:新マルウェア「IronWorm」が36パッケージに感染

Node Package Manager(npm)のインデックスに登録された36のパッケージが、「IronWorm」と呼ばれる情報窃取マルウェアによるサプライチェーン攻撃の被害を受けています。 このマルウェアは86の環境変数(キーと値のペア)と20の認証情報ファイルを標的にしており、OpenAI、AWS、Anthr

cyberpress.org

npmパッケージに対する悪意ある binding.gyp キャンペーン——複数メンテナーアカウントを標的に

2026年6月3日、高度に組織化されたサプライチェーン攻撃が発生し、複数のメンテナーアカウントにまたがる57件のnpmパッケージが侵害されました。 この急速なキャンペーンは2時間未満で展開され、@vapi-ai/server-sdkやai-sdk-ollamaといった人気ツールに大きな被害をもたらしました。セキュリテ

gbhackers.com

タイポスクワッティングされたnpmパッケージがクラウドおよびCI/CDの秘密情報を窃取

OpenSearch、ElasticSearch、およびDevOpsツールを使用する開発者を標的とした組織的なnpmサプライチェーン攻撃が発見され、攻撃者は感染したシステムからクラウド認証情報やCI/CDの秘密情報を積極的に窃取しています。 悪意のあるパッケージは、opensearch-setupやelastic-o