大手ソフトウェアセキュリティー企業JFrog(ジェイフロッグ)は、JounQinのnpmアカウントに関連する重大なセキュリティー侵害が発生したと報告した。eslint-config-prettierなどの人気パッケージのメンテナンスを担当するこのアカウントは、フィッシング攻撃によって侵害された。攻撃者は侵害された認証情報を使って、eslint-config-prettierの悪意のあるバージョン6つと、同じアカウントに関連付けられた3つの感染パッケージを公開した。侵害されたパッケージは毎週約7,800万回ダウンロードされており、広く使用され信頼されているパッケージの脆弱性を浮き彫りにしている。
侵害の最初の兆候は2025年7月18日に確認された。GitHubユーザーが、npmレジストリに最近現れた異常なバージョンについて報告。ユーザーはバージョン10.1.7に疑わしい変更が加えられており、package.jsonにインストールスクリプトがひそかに追加されていたことを指摘した。翌日、eslint-config-prettierのメンテナーは、メールによるフィッシング攻撃の被害に遭ったことを確認した。攻撃者は彼のnpmアカウントにアクセスし、複数のパッケージに悪意のあるコードを公開していた。その中で最も顕著な標的となったのはeslint-config-prettierだった。
JounQinが、悪意のあるコードが埋め込まれた侵害パッケージのリストを公開したことで、この侵害の全容が明らかになった。影響を受けたバージョンは、eslint-config-prettierの複数のリリースを含む、広く使用されている複数のプロジェクトにまたがっていた。侵害されたパッケージには、埋め込まれたnode-gyp.dll PE32+バイナリーを介して悪意のある動作が配信されたため、攻撃はWindowsシステムのみに限定されていたが、今回の侵害は近年のnpmサプライチェーンにおける最も深刻な侵害の一つだ。
JFrogの高度な検出機能であるJFrog Curationは、今回の侵害による影響の収拾に大きく貢献した。このシステムは、コミュニティーやJFrogのセキュリティー研究によってフラグが付けられた悪意のあるパッケージや疑わしいパッケージを自動的にブロックし、組織への侵入を未然に防ぐ。このインシデントは、ソフトウェア業界における積極的なガバナンスとリアルタイム保護の重要性を改めて認識させるものだ。JFrogは開発環境の管理と保護のためのソリューションを提供し続け、将来起こりうる同様のサプライチェーン攻撃に対する重要な防御線を提供していく。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。