SAPのNPMパッケージがサプライチェーン攻撃の標的に

概要

「Mini Shai-Hulud」と呼ばれるサプライチェーン攻撃により、SAPのNPMパッケージ（JavaScriptの開発用ライブラリ）が標的にされました。攻撃者はプリインストールフック（パッケージ導入時に自動実行されるスクリプト）を悪用し、Bunバイナリ（実行ファイル）を取得・実行する仕組みを埋め込みました。この手法により、セキュリティ監視システムを回避することが可能になり、開発環境に潜在的なマルウェアが導入される危険性があります。NPMパッケージは多くの開発者に使用されるため、影響範囲は広範です。利用者は信頼できるバージョンへの更新確認とセキュリティ監視の強化が求められます。

元記事（SecurityWeek）