【npm】11月24日以降にnpm installした人へ

【npm】11月24日以降にnpm installした人へ
SRANK

npm史上最悪のサプライチェーン攻撃「Shai-Hulud 2.0」。正規パッケージのメンテナー認証情報を盗み、悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散しました。この記事では2つのことを解説します：自分が被害にあっていないか確認する方法今後の被害を防ぐ多層防御アプローチ*この記事と同じ内容を動画でも解説していますので、動画の方が好きな方は下記からどうぞ - あなたは大丈夫か？Shai-Hulud 2.0は11月21日から急速に拡散しました。この日以降にnpm installを実行した人は、感染の可能性があります。チェック1: GitHubアカウントの確認（ブラウザで完結）確認ポイント1: 見覚えのないリポジトリまずGitHubで自分のリポジトリ一覧を確認。Shai-Huludは感染したアカウントにランダムな名前のパブリックリポジトリを作成し、窃取した認証情報を公開します。 descriptionに「Sha1-Hulud: The Second Coming」という文字列が含まれていたら確実にアウトです。これは攻撃者が窃取した認証情報を公開する際に付ける名前。上記はアウトな例。不審なレポジトリがないかチェックしましょう。確認ポイント2: 不審なワークフローファイルGitHubのコード…

zenn.dev 2 days ago

Open page

https://zenn.dev/hand_dot/articles/04542a91bc432e