npm

• 悪意のある malware dropper を同梱した Axios の脆弱性が発覚し、 npm リポジトリで問題パッケージが削除された。
• 24 時間以内に npm install を実行したユーザーは lockfile を確認し、Credential rotation とロールバックを推奨されている。
• 1.14.0 または 0.30.5 未満の安定版へロールバックすることでセキュリティリスクから回避できるという最新情報だ。

利用頻度が高く影響範囲が広いため、脆弱性を含む悪意のあるパッケージ同梱を防止した供給連鎖攻撃対策が即座に必要であり、Credential rotation の実行が不可欠である。

• TeamPCP 攻撃団体が、Trivy 供給チェーン被害から NPM、Docker Hub、VS Code、PyPI などへ開拓を広げ、Lapsus$ と連携して資金化している可能性が高まる。
• Aqua Security の Trivy や Checkmarx の VS Code パッケージ、NPM エコシステムへの複数工程のマルウェア注入攻撃により、秘密情報の盗難や大規模なクラスタ破壊が進行する中、CI/CD 保護の重要性が再確認された。
• CanisterWorm や Iran 指向型「kamikaze」と呼ばれるワイパーのような高度な機能を含む最新マルウェアが、開発者のトークンやインフラを標的とした横断的な攻撃力を示唆する。

TeamPCP の攻撃が単なる供給チェーン被害にとどまらず、開発者トークンと CI/CD プライビレージを横断して大規模なインフラ破壊や秘密盗難を行っているため、セキュリティ業界全体に重大な警鐘を鳴らしている。