NPM

フォロー
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.

悪意のあるnpmパッケージが複数のプラットフォームで開発者の認証情報を盗む

Lisa Kern AIによって生成された画像

2025年7月4日にアップロードされた10個のタイプミスを意図的に使ったnpmパッケージが、Windows、Linux、macOSシステム全体で機密データを狙うインフォスティーラーをダウンロードしていることが判明しました。これらのパッケージは、人気のライブラリを模倣し、複数の難読化層により検知を回避し、約10,000回のダウンロードを蓄積しました。サイバーセキュリティ企業Socketがこの脅威を報告し、パッケージがレジストリで依然として利用可能であると指摘しています。

悪意あるパッケージが NPM を 86,000 件以上のダウンロードで圧倒

Theo Klein

セキュリティ企業 Koi は、PhantomRaven と呼ばれるキャンペーンを発見し、8 月以降 NPM レジストリに 126 の悪意あるパッケージを氾濫させました。これらのパッケージは 86,000 回以上ダウンロードされ、信頼できないサイトからの未検証依存関係を許可する機能を悪用しています。2025 年 10 月末時点で、約 80 のパッケージがまだ利用可能でした。

このウェブサイトはクッキーを使用しています

サイトを改善するための分析にクッキーを使用しています。当社の プライバシーポリシー をお読みください 詳細については。
拒否