【npm】11月24日以降にnpm installした人へ - Shai-Hulud感染チェック & 多層防御ガイド

npm史上最悪のサプライチェーン攻撃「Shai-Hulud 2.0」。正規パッケージのメンテナー認証情報を盗み、悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散しました。 この記事では2つのことを解説します： 自分が被害にあっていないか確認する方法 今後の被害を防ぐ多層防御アプローチ *この記事と同じ内容を動画でも解説していますので、動画の方が好きな方は下記からどうぞ 被害確認 - あなたは大丈夫か？ Shai-Hulud 2.0は11月21日から急速に拡散しました。この日以降にnpm installを実行した人は、感染の可能性があります。 チェック1: GitHubアカウントの確認（ブラウザで完結） 確認ポイント1: 見覚えのないリポジトリ まずGitHubで自分のリポジトリ一覧を確認。 Shai-Huludは感染したアカウントにランダムな名前のパブリックリポ

[KERBEROS]

基本的には安全なバージョンをソース管理に含んでおいて、必要なときにだけ取得が一番安全な方法だよね。

[FreeCatWork]

えぇ！ボクの知らない間にそんな悪い草？が、にゃ？ 怖いから逃げちゃうにゃ！

[taxman_1972]

シャイ•フルドか……懐かしいな、砂の惑星か。恐怖は心を殺すもの、それは心の小さな死

[defiant]

この記事をおすすめしました

[Falky]

防御方法は意識しておきたいわね〜 pnpmの次の防衛線は自分はまだよく知らんかったのでありがたや

[eedamame]

“discussion.yaml”

[shoh8]

ぎえええ

[tettekete37564]

うぉ結構ヘビーな奴だ

[ginpei]

npmへのサプライチェーン攻撃対策。pnpmはminimumReleaseAge設定、非pnpmはAikido Safe Chainというツールでゼロデイ攻撃を回避。他にインストール時のスクリプト実行を許可リスト制にする、既知脆弱性の走査。自身の感染確認も。

[akymrk]

“osv-scanner --lockfile package-lock.json”"osv-scanner --lockfile package-lock.json"

[send]

osv-scanner いいな

[renu]

おそろしい

[kotaponx]

サプライチェーン攻撃はこわい……

[mojimojikun]

ふぇぇ

[snowcrush]

わかりやすい

[gfx]

こわ。とりあえず自分の身の回りは大丈夫そうだったが。

[yarumato]

“悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散。自分が被害にあっていないか確認する方法。今後の被害を防ぐ防御方法”

[mkusaka]

npmのShai-Hulud汚染有無を`npm ls shai-hulud`で即確認し、npmrc編集やpackage-lock再生成など多層防御手順を具体的に解説