C
月内に
npmエコシステムにおいて、LeoPlatformおよびRStreamsのパッケージを標的としたサプライチェーン攻撃
📌 一言でいうと
npmエコシステムにおいて、LeoPlatformおよびRStreamsのパッケージを標的としたサプライチェーン攻撃が確認されました。攻撃者はメンテナーのアカウントを乗っ取り、20以上の悪意あるパッケージを公開しました。今回の攻撃では、従来のlifecycle-hooksではなくbinding.gypファイルを通じてマルウェアをインストールさせる手法が用いられています。
🔍該当判定
- Node.jsの開発環境で 'LeoPlatform' のライブラリを利用している
- npm経由で 'rstreams-metrics' などのRStreams関連パッケージをインストールしている
- プロジェクトの依存関係に 'leo-auth', 'leo-aws', 'leo-cli', 'leo-sdk', 'leo-streams', 'serverless-leo' のいずれかが含まれている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるパッケージ(leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics等)のバージョンを確認し、侵害されたバージョンを速やかに削除または更新してください。また、npmアカウントに多要素認証 (MFA) を導入することを強く推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npmパッケージ(LeoPlatform/RStreams)のサプライチェーン攻撃について
お疲れさまです。npmエコシステムにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
LeoPlatformおよびRStreamsのメンテナーアカウントが侵害され、Miasma/Shai-Hulud/Hadesファミリーのマルウェアを含む悪意あるパッケージが公開されました。特筆すべき点として、今回はpackage.jsonのlifecycle-hooksではなく、binding.gypファイルを通じてインストール時にコードを実行させる手法が採用されています。
■ 影響範囲
- 対象パッケージ: leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics 等
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、上記パッケージの利用有無を確認してください。
2. 侵害されたバージョンが検出された場合は、直ちに削除し、安全なバージョンへのダウングレードまたは更新を行ってください。
3. 依存関係のロックファイル(package-lock.json等)を点検し、意図しないバージョンへの更新が行われていないか確認してください。
■ 参考情報
- Socket, StepSecurity, JFrog, SafeDep のレポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。npmエコシステムにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
LeoPlatformおよびRStreamsのメンテナーアカウントが侵害され、Miasma/Shai-Hulud/Hadesファミリーのマルウェアを含む悪意あるパッケージが公開されました。特筆すべき点として、今回はpackage.jsonのlifecycle-hooksではなく、binding.gypファイルを通じてインストール時にコードを実行させる手法が採用されています。
■ 影響範囲
- 対象パッケージ: leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics 等
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、上記パッケージの利用有無を確認してください。
2. 侵害されたバージョンが検出された場合は、直ちに削除し、安全なバージョンへのダウングレードまたは更新を行ってください。
3. 依存関係のロックファイル(package-lock.json等)を点検し、意図しないバージョンへの更新が行われていないか確認してください。
■ 参考情報
- Socket, StepSecurity, JFrog, SafeDep のレポート
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Supply Chain Attack on LeoPlatform and RStreams npm Packages
Dear IT/Security Team,
We are sharing information regarding a supply chain attack affecting the npm ecosystem.
■ Overview
Attackers compromised a maintainer account associated with LeoPlatform and published over 20 malicious versions of packages across the LeoPlatform and RStreams ecosystems. The malware (Miasma/Shai-Hulud/Hades family) now utilizes the binding.gyp file to execute malicious code during installation, bypassing traditional lifecycle-hook detections.
■ Scope
- Affected Packages: leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics, and others.
■ Action Plan
1. Audit development environments and CI/CD pipelines for the presence of the affected packages.
2. Immediately remove compromised versions and revert to known safe versions or update to patched releases.
3. Review dependency lock files (e.g., package-lock.json) for unauthorized version bumps.
■ Reference
- Reports from Socket, StepSecurity, JFrog, and SafeDep
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack affecting the npm ecosystem.
■ Overview
Attackers compromised a maintainer account associated with LeoPlatform and published over 20 malicious versions of packages across the LeoPlatform and RStreams ecosystems. The malware (Miasma/Shai-Hulud/Hades family) now utilizes the binding.gyp file to execute malicious code during installation, bypassing traditional lifecycle-hook detections.
■ Scope
- Affected Packages: leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, serverless-leo, rstreams-metrics, and others.
■ Action Plan
1. Audit development environments and CI/CD pipelines for the presence of the affected packages.
2. Immediately remove compromised versions and revert to known safe versions or update to patched releases.
3. Review dependency lock files (e.g., package-lock.json) for unauthorized version bumps.
■ Reference
- Reports from Socket, StepSecurity, JFrog, and SafeDep
Priority: High
Deadline: Immediate