B
今週中
PHPパッケージ管理ツールであるPackagist上の8つのパッケージが、サプライチェーン攻撃の標的となりました
📌 一言でいうと
PHPパッケージ管理ツールであるPackagist上の8つのパッケージが、サプライチェーン攻撃の標的となりました。攻撃者はpackage.jsonのライフサイクル・フックに悪意のあるコードを挿入し、GitHubからLinuxバイナリをダウンロードして実行させる仕組みを構築していました。PHP依存関係のスキャンだけでは検知しにくい「クロスエコシステム」的な手法が用いられており、現在は影響を受けたパッケージは削除されています。
🔍該当判定
- PHPの開発に『Composer』を利用している
- PHPプロジェクト内で『package.json』を含むJavaScriptのビルドツールを併用している
- Linuxサーバー上でPHPアプリケーションを動作させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Packagistから取得したパッケージの依存関係(特にpackage.jsonのpostinstallスクリプト)に不審な記述がないか確認してください。2. 開発環境における外部バイナリの自動ダウンロードおよび実行を制限するポリシーを導入してください。3. 依存関係スキャンツールをPHPだけでなく、プロジェクトに含まれる全てのパッケージ管理ファイルに適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Packagistにおけるサプライチェーン攻撃への対応について
お疲れさまです。Packagist上のパッケージを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
Packagistの8つのパッケージにおいて、package.jsonのライフサイクル・フック(postinstall等)に悪意のあるコードが挿入される事案が発生しました。このコードはGitHubからLinuxバイナリをダウンロードし、/tmp/.sshdに保存して実行させる動作をします。PHPの依存関係スキャンのみでは検知しにくい手法が用いられています。
■ 影響範囲
- Packagistで配布されていた影響のある8つのパッケージ(現在は削除済み)
- PHPコードと共にJavaScriptビルドツールを利用しているプロジェクト
■ 対応手順
1. プロジェクト内で利用しているPHPパッケージの依存関係を再確認し、不審なpostinstallスクリプトが含まれていないか点検してください。
2. 開発サーバーおよびCI/CDパイプラインにおいて、/tmp/.sshd 等の不審なディレクトリ作成や外部からのバイナリ取得がないかログを確認してください。
3. 依存関係の整合性チェック(Lockファイルの活用)を徹底してください。
■ 参考情報
- Socket Security Analysis
対応優先度: 中
対応期限: 速やかに確認
お疲れさまです。Packagist上のパッケージを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
Packagistの8つのパッケージにおいて、package.jsonのライフサイクル・フック(postinstall等)に悪意のあるコードが挿入される事案が発生しました。このコードはGitHubからLinuxバイナリをダウンロードし、/tmp/.sshdに保存して実行させる動作をします。PHPの依存関係スキャンのみでは検知しにくい手法が用いられています。
■ 影響範囲
- Packagistで配布されていた影響のある8つのパッケージ(現在は削除済み)
- PHPコードと共にJavaScriptビルドツールを利用しているプロジェクト
■ 対応手順
1. プロジェクト内で利用しているPHPパッケージの依存関係を再確認し、不審なpostinstallスクリプトが含まれていないか点検してください。
2. 開発サーバーおよびCI/CDパイプラインにおいて、/tmp/.sshd 等の不審なディレクトリ作成や外部からのバイナリ取得がないかログを確認してください。
3. 依存関係の整合性チェック(Lockファイルの活用)を徹底してください。
■ 参考情報
- Socket Security Analysis
対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Alert] Supply Chain Attack on Packagist Packages
Dear Team,
We are sharing information regarding a coordinated supply chain attack affecting eight packages on Packagist.
■ Overview
Attackers inserted malicious code into the package.json files of eight Packagist packages. This code leverages lifecycle hooks to download a Linux binary from a GitHub Releases URL and execute it from /tmp/.sshd. This 'cross-ecosystem' placement is designed to evade security scans that focus exclusively on composer.json (PHP) metadata.
■ Scope
- Eight affected packages on Packagist (now removed).
- Projects utilizing JavaScript build tooling alongside PHP code.
■ Mitigation Steps
1. Audit project dependencies for any suspicious postinstall scripts within package.json files.
2. Monitor development and CI/CD environments for unauthorized binary downloads or the creation of /tmp/.sshd.
3. Ensure strict adherence to dependency pinning and integrity checks using lock files.
■ Reference
- Socket Security Analysis
Priority: Medium
Deadline: Immediate review
Dear Team,
We are sharing information regarding a coordinated supply chain attack affecting eight packages on Packagist.
■ Overview
Attackers inserted malicious code into the package.json files of eight Packagist packages. This code leverages lifecycle hooks to download a Linux binary from a GitHub Releases URL and execute it from /tmp/.sshd. This 'cross-ecosystem' placement is designed to evade security scans that focus exclusively on composer.json (PHP) metadata.
■ Scope
- Eight affected packages on Packagist (now removed).
- Projects utilizing JavaScript build tooling alongside PHP code.
■ Mitigation Steps
1. Audit project dependencies for any suspicious postinstall scripts within package.json files.
2. Monitor development and CI/CD environments for unauthorized binary downloads or the creation of /tmp/.sshd.
3. Ensure strict adherence to dependency pinning and integrity checks using lock files.
■ Reference
- Socket Security Analysis
Priority: Medium
Deadline: Immediate review