#npm
7 posts-
newsLinkedIn 偽求人が送る「バックドア入り GitHub リポジトリ」 — npm install で詰む現実
LinkedIn の偽求人で送られた GitHub「コード課題」が、乗っ取られた正規リポジトリだった事例。pnpm install で任意コードが走...
-
news「npm install」だけでコードが実行される時代の終わり ― npm v12 が postinstall を標準オフに、サプライチェーン攻撃の温床にフタ
2026 年 7 月リリース予定の npm v12 から、依存パッケージの postinstall など install スクリプトが標準で実行されなくなる。...
-
newsMicrosoft の GitHub 73 リポジトリが無効化 — Claude Code / Gemini CLI を狙う自己増殖型マルウェア「Miasma」
Microsoft の GitHub リポジトリ 73 件が一斉無効化。Claude Code や Gemini CLI で開いた瞬間に認証情報を抜き、次のリポジトリ...
-
newsRed Hat 公式 npm が汚染:32 パッケージで認証情報窃取ワーム「Miasma」配布
Red Hat 公式 npm スコープ @redhat-cloud-services 配下の 32 パッケージが侵害され、ワーム型マルウェア Miasma が配布されて...
-
newsOSS 開発者を狙う Glassworm 遮断 — Solana・Google カレンダー・DHT で C2 を冗長化した次世代ボットネット
CrowdStrike が Google・Shadowserver と協調し OSS 開発者狙いの Glassworm を遮断。VSCode 拡張から認証情報を盗み 300+ GitHu...
-
newsnpm が「段階的リリース」を導入 — 盗んだトークン1枚ではもう公開できない
JavaScript の巨大エコシステムを支える npm が、公開前に人間の承認を挟む「段階的リリース」を導入した。度重なるサプライチェ...
-
newsOpenAI、サプライチェーン攻撃で従業員端末侵害 — macOS 版アプリは 6/12 までに対応必須
OpenAI が 2026 年 5 月 14 日に発表したサプライチェーン攻撃の詳細。npm/PyPI 170 以上のパッケージに波及し、コード署名証明...