なんとなくnpmって便利だし、パッケージ管理の王道みたいな存在だけど…最近、かなりヤバそうなサプライチェーン攻撃が見つかったんだ💡
「サプライチェーン攻撃」って言葉、聞いたことある? ざっくり言うと、自分が使ってる正常なソフトやツールの中に悪いものをこっそり入れちゃう手口のこと。で、今回はnpmの中でそんなことが起きてるんだよね✨
今回の攻撃のポイント
- trufflehogっていうツールを使って、ファイルシステム全体をスキャンしてる
- GitHubのプライベートリポジトリ(秘密のコード置き場)をバレバレにしてしまう
- AWSの認証情報まで盗もうとしてる
特にビックリなのが、もし.npmrcファイルにnpmのトークン(認証情報)が見つかると、「自己複製するワームみたいに」他の人にも勝手に広がっていく動きをするらしいの😳
つまり、攻撃されたユーザーがnpmにパッケージを公開していると、そのパッケージに悪意あるコードがどんどん広まっちゃう感じ。なんだかゾッとするよね🥺
自分の環境、心配なら
GitHubの被害にあったリポジトリは、こうやって検索できるよ👇
GitHubで影響を受けたリポジトリを見る
もし自分の使ってるパッケージやトークンが関係してそうなら、すぐに対応したほうがいいって話だよ💬
わたしも最初は「npmトークンをそんなに気にしなくてもいいんじゃ…?」って思ってたんだけど、こういう自己複製型って怖いよねーって感じた💭
どう守ればいいの?
.npmrcファイルに認証トークンを入れっぱなしにしない- 不要なトークンは消す・再発行する
- npmのパッケージを公開するなら、コードレビューをしっかりやる
- GitHubリポジトリのアクセス権も見直す
って感じで、ちょっと面倒だけど大事なことはちゃんとやっとくのが安心だね✨
技術的な詳しいことは難しいけど、こういう「知らないうちに自分の環境が乗っ取られるかも」って話は、すぐ知って動くのが大事だなって思ったよ💗
もし気になるなら、リンク先の技術ブログもぜひ読んでみてね👇
詳しい技術解説はこちら
はてな
コメント
ハンナ
この記事は自社製品のSafedepの宣伝っぽいね。
クリス
多分これ、AIが自己複製のテストしてるだけだよ。
グレース
これでレジストリがトークン保護や怪しい公開の監視を強化しそう。
ハンナ
それでもleft-padの方がまだ面白かったよ。
ハンナ
あのnpmの小さなワームたちは全然ダメだね。
クリス
>自己複製するワームの動きを観察してるって? ワーム好きな人もいるらしいよ。
ジャック
最近は自分のPCでnpm使うのがマジで怖いんだよね。
ノーラン
npmを持ってるマイクロソフトとマルウェアのコンビ、これ以上の有名ペアはないでしょ。
