Red Hat NPM パッケージ32個がサプライチェーン攻撃の標的に

概要

セキュリティ研究機関が、Red Hat関連の32個のNPMパッケージ（JavaScriptのライブラリ）に対するサプライチェーン攻撃を確認しました。攻撃者は96個の悪意あるパッケージバージョンを公開し、認証情報を盗み取るワーム（自己複製するマルウェア）を注入していました。このワームは「Mini Shai-Hulud」と呼ばれる既知の脅威と同様の機能を持っており、開発者がこれらのパッケージをプロジェクトに含めると、認証情報やトークンなどの機密情報が窃取される可能性があります。NPMはJavaScript開発において広く利用されているため、影響範囲は非常に広いと考えられます。ユーザーは直ちに依存パッケージの確認と更新、および認証情報のリセットを推奨されています。

元記事（SecurityWeek）