🔥 この記事の詳細
2026-07-14 更新
C
月内に

AsyncAPIのGitHubリポジトリが標的となったサプライチェーン攻撃

脆弱性🌐 英語ソース
📅 2026-07-14📰 cert_se
📌 一言でいうと
AsyncAPIのGitHubリポジトリが標的となったサプライチェーン攻撃が確認されました。攻撃者はGitHub Actionsの脆弱性を悪用して、悪意のあるnpmパッケージを公開しました。これらのパッケージには、永続性を確立しC2サーバーと通信するマルチステージペイロードが含まれています。
🔍該当判定
  • 開発プロジェクトで『@asyncapi/generator』のバージョン 3.3.1 を利用している
  • 開発プロジェクトで『@asyncapi/generator-helpers』のバージョン 1.1.1 を利用している
  • 開発プロジェクトで『@asyncapi/generator-components』のバージョン 0.7.1 を利用している
  • 開発プロジェクトで『@asyncapi/specs』のバージョン 6.11.2 を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるパッケージのバージョン(@asyncapi/generator 3.3.1, @asyncapi/generator-helpers 1.1.1, @asyncapi/generator-components 0.7.1, @asyncapi/specs 6.11.2)を使用していないか確認し、開発・ビルド環境の整合性を調査してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AsyncAPI npmパッケージのサプライチェーン攻撃への対応について

お疲れさまです。AsyncAPIに関連するnpmパッケージで悪意のあるバージョンが配布された件について情報共有です。

■ 概要
GitHub Actionsの脆弱性を悪用し、C2通信および永続化機能を備えたマルチステージペイロードを含む悪意のあるnpmパッケージが公開されました。

■ 影響範囲
- @asyncapi/generator v3.3.1
- @asyncapi/generator-helpers v1.1.1
- @asyncapi/generator-components v0.7.1
- @asyncapi/specs v6.11.2

■ 対応手順
1. プロジェクトの package-lock.json または yarn.lock を確認し、上記の悪意あるバージョンが導入されていないか調査してください。
2. 該当バージョンが検出された場合は、直ちに削除し、安全なバージョンへのダウングレードまたはアップデートを行ってください。
3. 影響を受けた環境において、不審な外部通信(C2通信)が発生していないかログを確認してください。

■ 参考情報
- https://www.stepsecurity.io/blog/compromised-next-branch-pushes-malicious-asyncapi-generator-generator-helpers-and-generator-components-to-npm
- https://www.wiz.io/blog/m-red-team-asyncapi-supply-chain-compromise-via-github-actions

対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Compromise of AsyncAPI npm Packages

Dear IT/Security Team,

We are sharing information regarding a coordinated supply chain attack targeting AsyncAPI npm packages.

■ Overview
Attackers exploited a vulnerability in GitHub Actions to push malicious versions of several npm packages. These packages contain a multi-stage payload that establishes persistence and connects to C2 infrastructure.

■ Affected Versions
- @asyncapi/generator v3.3.1
- @asyncapi/generator-helpers v1.1.1
- @asyncapi/generator-components v0.7.1
- @asyncapi/specs v6.11.2

■ Action Plan
1. Audit package-lock.json or yarn.lock files across all development and build environments to identify the presence of the affected versions.
2. Immediately remove the malicious versions and revert to a known safe version.
3. Inspect network logs for any suspicious outbound traffic to unknown C2 infrastructure from affected build servers.

■ Reference
- https://www.stepsecurity.io/blog/compromised-next-branch-pushes-malicious-asyncapi-generator-generator-helpers-and-generator-components-to-npm
- https://www.wiz.io/blog/m-red-team-asyncapi-supply-chain-compromise-via-github-actions

Priority: High
Deadline: Immediate