npm install だけで機密情報が漏洩するリスク

BRANK

「信頼できるパッケージを使っているから大丈夫」と思っていませんか？近年、npm パッケージを経由したサプライチェーンリスクが増加しており、npm install を実行しただけで機密情報が漏洩するリスクがあります。本記事では、このリスクを実際に手元で再現できるデモを紹介し、取りうる対策とその限界を整理します。サプライチェーンリスクとはソフトウェアのサプライチェーンリスクとは、自分たちが直接書いたコードではなく、依存しているライブラリや開発プロセスを経由して不正な処理が持ち込まれるリスクです。npm におけるよくある手口として typosquatting があります。人気パッケージに酷似した名前のパッケージを公開し、開発者のタイプミスや不注意を狙います。パッケージには package.json の postinstall フックという仕組みがあり、npm install 実行後に任意のスクリプトを自動実行できます。これを悪用すると、以下のような流れでリスクが発生します。被害者のログには npm install が正常終了したように見えるため、気づかないまま情報が漏洩するのが特徴です。!postinstall 以外にも preinstall（インストール前）や install（インストール中）フックも同…