🔥 この記事の詳細
2026-05-25 更新
C
月内に

PHPのパッケージ管理リポジトリであるPackagistにおいて、8つのパッケージが侵害されるサプライチェーン攻撃

脆弱性🌐 英語ソース
📅 2026-05-25📰 ithome_tw
📌 一言でいうと
PHPのパッケージ管理リポジトリであるPackagistにおいて、8つのパッケージが侵害されるサプライチェーン攻撃が確認されました。攻撃者はpackage.jsonに悪意のあるスクリプトを仕込み、GitHubからLinux用バイナリをダウンロードしてバックグラウンドで実行させる仕組みを構築していました。特にJavaScriptビルドツールとPHPを併用するプロジェクトを標的としており、広範囲な影響が懸念されています。
🔍該当判定
  • PHPの開発で「Composer」というツールを利用してライブラリを管理している
  • PHPとJavaScript(Node.js)の両方を組み合わせてシステム開発を行っている
  • Linuxサーバー上でPHPアプリケーションを動作させている
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Composerおよびnpm/yarnの依存関係を再確認し、不審なpackage.jsonの変更がないか監査すること。2. 開発環境における外部バイナリの自動ダウンロードおよび実行を制限すること。3. 信頼できないサードパーティパッケージの導入を避け、最新のセキュリティパッチを適用すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Packagistにおけるサプライチェーン攻撃への対応について

お疲れさまです。Packagistを標的としたサプライチェーン攻撃に関する情報共有です。

■ 概要
Packagistの8つのパッケージが侵害され、package.jsonに悪意のあるライフサイクル・フックが仕込まれました。これにより、GitHubからLinux用悪意あるバイナリがダウンロードされ、SSHプロセスを装ってバックグラウンドで実行される仕組みとなっています。

■ 影響範囲
- Packagist経由で侵害されたパッケージを利用し、かつJavaScriptビルドツールを併用しているPHPプロジェクト

■ 対応手順
1. プロジェクト内で利用しているPHPパッケージの依存関係を監査し、不審なスクリプトがpackage.jsonに含まれていないか確認してください。
2. 開発サーバーおよびCI/CDパイプラインにおいて、不審な外部通信(特にGitHubからのバイナリ取得)が発生していないかログを確認してください。
3. 影響のあるパッケージが特定された場合は、直ちにバージョンを更新または削除してください。

■ 参考情報
- Socket Security Advisory

対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Supply Chain Attack Targeting Packagist PHP Packages

Dear IT/Security Team,

We are sharing information regarding a supply chain attack targeting the Packagist repository.

■ Overview
Eight packages on Packagist have been compromised. Attackers injected malicious scripts into the package.json files (rather than composer.json) to download and execute Linux binaries from GitHub. These binaries are designed to run in the background, masquerading as SSH processes.

■ Scope
- PHP projects utilizing the compromised Packagist packages that also employ JavaScript build tools.

■ Mitigation Steps
1. Audit project dependencies and inspect package.json files for unauthorized lifecycle hooks or scripts.
2. Monitor development servers and CI/CD pipelines for suspicious outbound traffic, specifically binary downloads from GitHub.
3. Remove or update any identified compromised packages immediately.

■ Reference
- Socket Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-25 のまとめ🔍 記事を検索