Popular node-ipc npm Library Hit by Supply Chain Attack, Impacting 822K Weekly Downloads
2026/05/15 gbhackers — 週次のダウンロード数 822,000 件を超える npm パッケージが、深刻なサプライチェーン攻撃の中心となり、JavaScript エコシステム全体に新たな懸念を引き起こしている。人気ライブラリ node-ipc に存在する、ステルス性の高い認証情報窃取マルウェア/バックドアなどを取り込んだ複数の悪意のバージョンを、Socket のセキュリティ研究者が発見した。影響を受けるバージョン node-ipc@9.1.6/9.2.3/12.0.1 が、公開後の数分以内に検知された。
Continue reading “npm ライブラリ node-ipc にサプライチェーン攻撃:Cloud 認証情報/SSH キーを窃取”Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion
2022/03/17 TheHackerNews — ロシアのウクライナ侵攻に抗議するために、人気の NPM パッケージ node-ipc の開発者が新バージョンを出荷したが、そのことで、オープンソースとソフトウェア・サプライチェーンにおけるセキュリティへの懸念が高まっている。この変更は、ライブラリの Ver 10.1.1/10.1.2 に影響するものだが、そのメンテナである RIAEvangelist による望ましくない動作を導入し、ロシアおよびベラルーシの IP アドレスを持つユーザーをターゲットにして、任意のファイルのコンテンツを消去し、ハートの絵文字に置き換えるものになっている。
Continue reading “人気の NPM Package が抗議活動:ファイル破壊などでロシア/ベラルーシを狙い撃ち”
IoT OT Security News 