🔥 この記事の詳細
2026-07-01 更新
C
月内に

npmおよびGoのパッケージを標的としたサプライチェーン攻撃

脆弱性🌐 英語ソース
📅 2026-07-01📰 thaicert
📌 一言でいうと
npmおよびGoのパッケージを標的としたサプライチェーン攻撃が確認されました。攻撃者はプロジェクト設定ファイルに悪意のあるコードを隠し、VS Codeなどのエディタでフォルダを開き、自動実行を許可した際に情報を盗み出すマルウェアをインストールさせます。npmの悪意あるパッケージは既に削除されていますが、過去に利用したユーザーは依然としてリスクがあります。
🔍該当判定
  • 社内でJavaScript (npm) または Go言語を用いたシステム開発を行っている
  • 開発者が VS Code などのコードエディタを利用してプロジェクトを開いている
  • 外部から提供された、または不審なソースコード(フォルダ)を開発環境で開いたことがある
  • npmパッケージをインストールして利用する環境が社内にある
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 信頼できないソースからのプロジェクトフォルダを開かない。 2. VS Code等のエディタで「信頼されていないワークスペース」の自動実行設定を無効にする。 3. 不審なアウトバウンド通信がないか監視し、必要に応じてエンドポイントスキャンを実施する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npmおよびGoパッケージを標的としたサプライチェーン攻撃について

お疲れさまです。開発環境におけるサプライチェーン攻撃に関する情報共有です。

■ 概要
npm(2件)およびGo(16件)の悪意あるパッケージが検出されました。本攻撃はインストール時のスクリプトではなく、プロジェクト設定ファイルにコードを隠蔽し、VS Code等のエディタでワークスペースを開いた際の自動実行機能を利用して情報窃取マルウェアを感染させる手法を用いています。

■ 影響範囲
- npmおよびGoパッケージを利用する開発環境
- VS Code等の自動実行機能を有効にしているエディタ利用者

■ 対応手順
1. 開発チームに対し、信頼できないリポジトリやフォルダをエディタで開かないよう周知徹底する。
2. エディタの「ワークスペースの信頼 (Workspace Trust)」設定を確認し、未知のフォルダでの自動実行を制限する。
3. 開発端末において、不審な外部C2サーバーへの通信が発生していないかログを確認する。

■ 参考情報
- ThaiCERT アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Supply Chain Attack targeting npm and Go Packages

Dear IT/Security Team,

We are sharing information regarding a supply chain attack targeting the npm and Go ecosystems.

■ Overview
Malicious packages (2 for npm, 16 for Go) have been identified. Unlike typical installation-time attacks, this campaign hides malicious commands in project configuration files. The malware is triggered when a developer opens the project folder in an editor (e.g., VS Code) and allows automatic command execution, leading to the installation of an info-stealer.

■ Scope
- Development environments using npm and Go packages.
- Users of IDEs/editors with automatic execution enabled for trusted workspaces.

■ Mitigation Steps
1. Instruct developers not to open project folders from untrusted sources.
2. Enforce the use of "Workspace Trust" features in editors to prevent automatic execution of scripts in unknown directories.
3. Monitor development endpoints for suspicious outbound traffic to unknown C2 servers.

■ Reference
- ThaiCERT Advisory

Priority: High
Deadline: Immediate