Nxからnpmトークンを窃取した攻撃手法を実験してみる - 空の箱
2025年8月26日、JavaScriptエコシステムで最も広く使用されているビルドツールの一つであるNxにおいて、複数の悪意のあるバージョンが攻撃者によって公開されてしまったことが話題になった。 socket.dev github.com 攻撃の概要 簡単に説明すると、 攻撃者が悪意のあるコードを含むNxライブラリを作成 Nx公式のnpmトークンを盗む 攻撃者がNx公式になり代わり、あたかも公式リリースかのように悪意のあるコードを含む最新バージョンを公開 利用者が最新版をダウンロードすることで、悪意のあるコードが実行される という感じだ。攻撃の影響や詳しい流れは本記事の守備範囲外のため、NotebookLMに簡潔にまとめてもらった内容を記載する。 1. GitHub Actionsワークフローの脆弱性悪用 攻撃者は pull_request_target トリガーを持つワークフローのBa
初学者向けpackage.jsonハンズオン - Qiita
これは Node.js Advent Calendar 2019 の8日目の記事です。 昨日は @yuta-ron さんによる スクレイピング & サーバレスAPIでNode.jsの雰囲気を体験してみる でした。 初学者向けpackage.jsonハンズオン Node.js初学者向けにpackage.jsonハンズオンを実施しましたので、その時に作ったハンズオン資料を公開します。 npmコマンドやpackage.jsonに慣れることが目的のハンズオンの資料ですので、Node.jsとは何か?といった説明はしません。ご了承ください。 文章の手順通りに進めていけば、npmコマンドやpackage.json編集が体験できます! 事前準備 Node.jsのインストール 事前にNode.jsのインストールをお願いします。(すでにNode.jsがインストール済の方は飛ばしてください。) Windowsの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
