SlowMistのセキュリティアラートによると、調整されたサプライチェーン攻撃がnpmエコシステムを標的にし、30の悪意のあるパッケージが関与しています。攻撃者は、偽のトレーディングボットリポジトリやDeFiをテーマにしたnpmパッケージを作成することで、JavaScriptの情報窃盗ツールを配布しました。stake-math@3.5.4パッケージは、donoaccestag/forex-mt5-trading-botリポジトリのロックされた依存関係として特定されており、poly-stocksアカウント下に約23,000の類似したフォークされたリポジトリが存在し、異常の兆候が見られました。
この攻撃は、暗号ウォレット、ブラウザのクッキー、パスワード、開発者の資格情報、秘密鍵、シードフレーズ、APIトークンなどの機密データの盗難リスクをもたらします。開発者は、影響を受けたパッケージを削除し、依存関係とCIログを監査し、npm installを実行したシステムを侵害されたものとして扱い、露出した資格情報をローテーションし、クリーンなイメージから環境を再構築することが推奨されています。
npmエコシステムが30件の悪意あるパッケージ攻撃の標的に
免責事項: Phemexニュースで提供されるコンテンツは、あくまで情報提供を目的としたものであり、第三者の記事から取得した情報の正確性・完全性・信頼性について保証するものではありません。本コンテンツは金融または投資の助言を目的としたものではなく、投資に関する最終判断はご自身での調査と、信頼できる専門家への相談を踏まえて行ってください。
