npm をセキュアな挙動にするために .npmrc に記述する最小設定

ARANK

はじめにグループIT推進本部 CyberAgent group Infrastructure Unit（以下、CIU）所属・Next Expertsの平井（@did0es）です。CIUのサービスのWebフロントエンド開発に携わる傍ら、TypeScriptのNext Expertsとして情報発信や社内向けの技術支援を中心に活動しています。本記事では、pnpm や bun への移行を検討する前に、まず npm のままで実施できるセキュリティ対策を実施したい人を対象に、 .npmrc に入れるべき最小限の設定を紹介します。ここで紹介する設定は、最小構成でありつつ、CIUのWebフロントエンドでも共通して採用している内容です。背景として、npmまわりでは直近で大きなサプライチェーン攻撃が続いています。Shai-Hulud（2025年9月〜11月）axiosパッケージ改ざん（2026年3月31日）Shai-Huludは、開発者トークンの窃取と拡散で、正規パッケージが連鎖的に改ざんされた事例です。Datadogの分析では、2.0系だけで 796 パッケージ、週次 2,000 万ダウンロード超に影響が出ました。axiosの事例では、axios@1.14.1 / 0.30.4 の改ざんにより、plain-crypto-js 経由で遠隔操作型マルウェアが配布されました。公開されていた時間は約3時間でしたが、latest タグで取…