【npm】11月24日以降にnpm installした人へ - Shai-Hulud感染チェック & 多層防御ガイド

npm史上最悪のサプライチェーン攻撃「Shai-Hulud 2.0」。正規パッケージのメンテナー認証情報を盗み、悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散しました。 この記事では2つのことを解説します： 自分が被害にあっていないか確認する方法 今後の被害を防ぐ多層防御アプローチ *この記事と同じ内容を動画でも解説していますので、動画の方が好きな方は下記からどうぞ 被害確認 - あなたは大丈夫か？ Shai-Hulud 2.0は11月21日から急速に拡散しました。この日以降にnpm installを実行した人は、感染の可能性があります。 チェック1: GitHubアカウントの確認（ブラウザで完結） 確認ポイント1: 見覚えのないリポジトリ まずGitHubで自分のリポジトリ一覧を確認。 Shai-Huludは感染したアカウントにランダムな名前のパブリックリポ

[uehaj]

npxで実行はこのすべてのもんだいをはらんでるので危険なんだなと

[KERBEROS]

基本的には安全なバージョンをソース管理に含んでおいて、必要なときにだけ取得が一番安全な方法だよね。

[ginpei]

npmへのサプライチェーン攻撃対策。pnpmはminimumReleaseAge設定、非pnpmはAikido Safe Chainというツールでゼロデイ攻撃を回避。他にインストール時のスクリプト実行を許可リスト制にする、既知脆弱性の走査。自身の感染確認も。

[field_combat]

ゼロデイ対策やるか

[mag4n]

んー

[spark64]

メンテナーでも罹るものなのだな… https://www.trendmicro.com/ja_jp/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html

[t-murachi]

humm...

[tfurukaw]

こわい。

[nabinno]

バイブコーディングの影響でnpm利用の敷居も下がっているので、個々人の良心に任せるのは厳しく、別の手立てを考える必要がある。

[unmarshal]

標的型フィッシング等でメンテナアカウントが侵害されて、正規のパッケージに悪意のあるバージョンが公開されるという事か。だからゼロデイ攻撃として対策する必要があると。意識のアップデートが必要だ。

[newforms]

知らなかった。恐ろしい💦

[ustam]

yarnなら平気？　そういう話じゃないの？

[FreeCatWork]

えぇ！ボクの知らない間にそんな悪い草？が、にゃ？ 怖いから逃げちゃうにゃ！

[taxman_1972]

シャイ•フルドか……懐かしいな、砂の惑星か。恐怖は心を殺すもの、それは心の小さな死

[defiant]

この記事をおすすめしました

[Falky]

防御方法は意識しておきたいわね〜 pnpmの次の防衛線は自分はまだよく知らんかったのでありがたや

[eedamame]

“discussion.yaml”

[shoh8]

ぎえええ

[tettekete37564]

うぉ結構ヘビーな奴だ

[akymrk]

“osv-scanner --lockfile package-lock.json”"osv-scanner --lockfile package-lock.json"

[send]

osv-scanner いいな

[renu]

おそろしい

[kotaponx]

サプライチェーン攻撃はこわい……

[mojimojikun]

ふぇぇ

[snowcrush]

わかりやすい

[gfx]

こわ。とりあえず自分の身の回りは大丈夫そうだったが。

[yarumato]

“悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散。自分が被害にあっていないか確認する方法。今後の被害を防ぐ防御方法”

[mkusaka]

npmのShai-Hulud汚染有無を`npm ls shai-hulud`で即確認し、npmrc編集やpackage-lock再生成など多層防御手順を具体的に解説