#npm

npm CLIのプルリクエスト#9360で、新しいallowScriptsオプションが提案されている。これは、パッケージインストール時に実行されるスクリプト（pre/postinstallなど）を開発者が明示的に許可するまで実行しない、オプトインベースのセキュリティポリシーである。これにより、依存関係による悪意あるスクリプトの自動実行を防ぎ、サプライチェーン攻撃のリスクを低減できる。

Researchers at Sonatype have uncovered a sophisticated NPM supply chain attack involving 176 malicious packages designed to infiltrate internal corporate dependencies. The campaign specifically targets private packages within organizations, aiming to harvest sensitive data and credentials from development environments. This highlights the growing risk to internal, non-public dependencies that many teams mistakenly assume are safe from external threats.

あるマルウェア開発者が、Claude AIのユーザー認証情報を盗み取る悪意のあるコードを含むNPMパッケージを公開したが、自身のGitHubプライベートトークンを誤ってリークしてしまい身元が暴露された。このサプライチェーン攻撃の試みは、攻撃者のずさんなオペレーションセキュリティ（OPSEC）により失敗に終わり、再びオープンソースエコシステムの脆弱性が浮き彫りとなった。

This guide explains how to configure NPM staged publishing, allowing you to release packages with a simple one-click-per-package workflow. It streamlines the process of publishing multiple packages in a monorepo by setting up staging environments and automating the release steps.

TrapDoorは、NPM、PyPI、Crates.ioの3つの主要なパッケージレジストリを横断するサプライチェーン攻撃で暗号通貨を盗むマルウェアです。攻撃者は正規のパッケージを装った悪意のあるパッケージをアップロードし、開発者の環境に侵入して秘密鍵やウォレット情報を窃取します。このキャンペーンは複数のプラットフォームにまたがる持続的な脅威であり、開発者はパッケージの検証を徹底する必要があります。

ステージドパブリッシングは、NPMパッケージを公開する前に一時的にステージング領域にアップロードし、テストや検証を可能にする機能です。これにより、不完全なパッケージが公開レジストリに誤って公開されるリスクを低減し、品質を保証した上で本番公開できます。

SafeDepsは、Python（pip）、NPM、NuGetの依存関係に潜む脆弱性をローカル環境で事前チェックできるセキュリティツール。CI/CDに組み込まずとも開発段階で危険なパッケージを検出し、安全な依存関係管理を実現する。

かつて「get-shit-done-cc」というNPMパッケージ名で知られていたGSDが、OpenGSDにリブランドされました。このプロジェクトは新たな名称のもと、開発者向けのタスク管理・実行ツールとしてオープンソースで継続的に提供されます。

Art-Template is an NPM package used for browser-side template rendering. A security compromise in the Coruna browser exploit chain has been identified, potentially affecting applications that rely on this package. Users are advised to review their dependencies and apply any available patches to mitigate risk.

NPM、PyPI、crates.ioの3つの主要なパッケージレジストリで、34のパッケージ、計100バージョンに影響を及ぼす新たなサプライチェーン攻撃が確認された。これらの悪意のあるパッケージは「トラップドア」型の暗号通貨スティーラーを仕込んでおり、開発者の環境に侵入して機密情報を窃取しようとする。

悪意あるパッケージ「TrapDoor」がPyPI、NPM、crates.ioの3つの主要なパッケージレジストリを通じて配布され、サプライチェーン攻撃を仕掛けていることが明らかになった。このマルウェアは暗号通貨ウォレットの情報を窃取するよう設計されており、開発者が依存関係を通じて誤ってインストールすると、機密情報が流出する危険性がある。

「@qocial/tour」は、依存関係が一切なく軽量なオープンソースのアプリツアー＆ユーザーオンボーディングSDKです。追加のライブラリを必要とせず、簡単に導入できるため、開発者は素早くアプリ内チュートリアルやガイドを実装できます。

Machineは、プロジェクトの依存関係をローカルマシンにインストールせずに管理・実行できるツールです。NPM installをクラウド上で処理することで、開発環境をクリーンに保ち、プロジェクト間の依存関係の競合を防ぎます。開発者はブラウザのみで完結する開発ワークフローを実現できます。

A malicious package campaign is actively targeting popular package registries including NPM, PyPI, and Crates.io. Attackers are deploying trojanized packages that mimic legitimate dependencies to compromise software supply chains across multiple ecosystems simultaneously.

現在のサプライチェーン攻撃の多くは、node_modulesやvenvなどの依存関係ディレクトリを.gitignoreに追加せずにgit管理し、CIのインストール手順を省略すれば防げると主張する。依存関係のアップデートや自動ビルドステップを排除することで攻撃対象を99%削減でき、すべての変更が追跡・トレース可能になると説く。npm installの振る舞いやGitHubのコミットハッシュに関する既知のバグも攻撃に悪用されていると指摘する。

npmjs.comの検索サジェストAPIにCloudflareのCAPTCHAが追加されたため、検索ボックスが正常に機能しなくなっている。検索時に候補が表示されない場合は、CAPTCHA認証が必要な検索結果ページを経由する必要がある。一度認証を通過すると、サジェストAPIは再びJSON形式のレスポンスを返すようになる。

GitHubはnpmパッケージ管理にステージドパブリッシング機能と新しいインストール時制御を導入しました。これにより、パッケージの公開前に検証や承認プロセスを追加でき、インストール時のセキュリティ制御も強化されます。

npmからpnpmへの移行を推奨する記事。pnpmはディスク容量の節約やインストール速度の向上など、多くの利点を持つNode.js用パッケージマネージャーです。特にモノレポ管理や厳格な依存関係解決において優れたパフォーマンスを発揮し、開発効率を大幅に改善できます。

An npm package posing as a LinkedIn client project was discovered to contain a Remote Code Execution (RCE) backdoor, triggered via `npm install`. The malicious package attempted to compromise the developer's machine by executing arbitrary commands during installation. This incident highlights the risk of supply chain attacks in open-source ecosystems, where seemingly legitimate packages can hide harmful payloads.

NPM経由でart-templateがサプライチェーン攻撃を受けた。攻撃者は2025年からリポジトリを掌握し、Baidu Analyticsなどを含むサードパーティドメインから不正なJavaScriptを読み込ませていた。NPMは世界のサプライチェーン攻撃の90%が発生する唯一のパッケージマネージャーだが、開発者たちは「防ぎようがない」と helpless な状況を受け入れている。

NPMレジストリが、パッケージ公開のセキュリティを強化するための新たな仕組みを導入する。この取り組みにより、開発者はより安全にパッケージを公開・管理できるようになり、サプライチェーン攻撃のリスク低減が期待される。

チームが悪意あるnpmパッケージ「Shai-Hulud」に感染した経験をきっかけに開発された、ローカルレジストリプロキシ型のマルウェア対策ツール。パッケージマネージャーとnpm/PyPIの間に立ち、確認済みの悪質パッケージがディスクに到達する前にブロックする。CVEスキャンやヒューリスティック、テレメトリは行わず、ルート権限不要で1コマンドで削除可能。CIやエージェントサンドボックスでも動作する。

npmfindは、標準のnpm検索に代わるパッケージ検索ツールです。より直感的なインターフェースと高度なフィルタリング機能を提供し、開発者が目的のパッケージを迅速に見つけられるよう支援します。

NPMの段階的公開（Staged Publishing）機能により、パッケージを公開前にステージング環境でプレビュー・テストできます。公開プロセスを段階的に進めることで、意図しないパブリック公開を防ぎ、品質を確認してから本番公開できる仕組みです。

NPM has deprecated fine-grained access tokens that allowed publishers to bypass two-factor authentication (2FA), tightening security for package publishing. The change means all token-based publishing operations must now satisfy 2FA requirements, closing a loophole that could have exposed the supply chain to unauthorized access.

ステージング公開は、npmパッケージを一般公開前に限定された環境でテスト・検証できる機能です。これにより、開発者はパッケージが本番公開される前に、特定のユーザーやシステムでの動作確認が可能となり、不具合や互換性問題を事前に発見できます。ステージング環境を活用することで、公開後のトラブルを未然に防ぎ、より安全なパッケージリリースを実現します。

NPMのサプライチェーン攻撃から防御するためのツールです。依存関係の改ざんや悪意あるパッケージの混入を検出し、開発環境を保護します。

Infrawiseは、Claude Codeに実際のインフラストラクチャコンテキストを提供するMCP（Model Context Protocol）サーバーです。開発者はコード生成や分析の際に、実際のクラウドリソース、ネットワーク構成、デプロイメント状態などの情報をClaudeが参照できるようになり、より正確なインフラ関連のコード生成が可能になります。

トラステッドパブリッシングは、NPMパッケージの発行をより安全かつ効率的にする認証方式です。従来のトークンベースの認証に代わり、サポート対象のCI/CDプロバイダ（GitHub Actions、GitLab CI/CDなど）とNPMレジストリ間で一時的な認証情報を用いた信頼関係を構築することで、トークン漏洩のリスクを低減し、公開プロセスを自動化します。

過去1年間にnpmパッケージを標的とした攻撃手法を網羅したマークダウンファイル。メンテナーアカウント乗っ取り、ライフサイクルフックの悪用、自己増殖型ワーム、CI/CD攻撃、依存関係のすり替えなど12の攻撃ベクターとその軽減策を解説。NPM公開前にプロジェクトのセキュリティレビューを徹底するための参考資料。