🔥 この記事の詳細
2026-04-22 更新
B
今週中

npmエコシステムを標的とした新しいサプライチェーン攻撃

脆弱性🌐 英語ソース
📅 2026-04-22📰 bleeping
📌 一言でいうと
npmエコシステムを標的とした新しいサプライチェーン攻撃が確認されました。この攻撃は開発者の認証トークンを窃取し、侵害したアカウントを通じてさらにパッケージを拡散させる自己増殖機能を備えています。Namastex Labsに関連する16のパッケージが侵害されており、AIエージェントツールやデータベース操作に関わる高価値なエンドポイントが狙われています。
該当時の対応
侵害されたパッケージのバージョンを直ちに削除し、npm認証トークンおよび関連するAPIキーをリセットしてください。また、依存関係の整合性を確認するためのソフトウェア構成分析(SCA)ツールの導入を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】npmサプライチェーン攻撃による認証トークン窃取について

お疲れさまです。npmエコシステムにおける新たなサプライチェーン攻撃に関する情報共有です。

■ 概要
Namastex Labsに関連するnpmパッケージにおいて、開発者の認証トークンを窃取し、侵害したアカウントを通じて自己増殖的に拡散する攻撃が確認されました。AIエージェントツールやデータベース操作に関わる高価値なエンドポイントが標的となっています。

■ 影響範囲
- 以下のパッケージを含むバージョン
- @automagik/genie (4.260421.33-4.260421.39)
- pgserve (1.1.11–1.1.13)
- @fairwords/websocket (1.0.38-1.0.39)
- @fairwords/loopback-connector-es (1.4.3-1.4.4)
- @openwebconcept/[email protected]
- @openwebconcept/[email protected]
- その他 Namastex Labs 関連の侵害パッケージ(計16種)

■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、上記パッケージの利用有無を確認してください。
2. 侵害されたバージョンが検出された場合は、直ちに削除し、安全なバージョンへの更新を行ってください。
3. 侵害の可能性がある場合、npm認証トークンおよび関連するAPIキーを速やかにリセットしてください。
4. SCA(ソフトウェア構成分析)ツールを用いて、依存関係の整合性を再確認することを推奨します。

■ 参考情報
- BleepingComputer: New npm supply-chain attack self-spreads to steal auth tokens

対応優先度: 高(速やかな確認と対応を推奨)
Subject: [Security Advisory] Self-spreading npm Supply Chain Attack targeting Auth Tokens

Hi all,

This is a security notification regarding a new supply chain attack targeting the npm ecosystem.

■ Overview
Researchers have identified a campaign involving compromised packages from Namastex Labs. The attack is designed to steal developer credentials and auth tokens, with a self-propagation mechanism that spreads through packages published from compromised accounts. It specifically targets high-value endpoints related to AI agent tooling and database operations.

■ Affected Scope
- The following packages/versions (among 16 total identified):
- @automagik/genie (4.260421.33-4.260421.39)
- pgserve (1.1.11–1.1.13)
- @fairwords/websocket (1.0.38-1.0.39)
- @fairwords/loopback-connector-es (1.4.3-1.4.4)
- @openwebconcept/[email protected]
- @openwebconcept/[email protected]

■ Recommended Actions
1. Audit your development environments and CI/CD pipelines for the presence of the affected packages.
2. Immediately remove compromised versions and update to known secure versions.
3. Rotate and reset npm authentication tokens and any associated API keys if a compromise is suspected.
4. Utilize Software Composition Analysis (SCA) tools to verify the integrity of your dependency tree.

■ Reference
- BleepingComputer: New npm supply-chain attack self-spreads to steal auth tokens

Priority: High (Prompt action is recommended)
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-22 のまとめ🔍 記事を検索