• npmパッケージを標的として悪意のあるコードを注入するハッカーが現れており、多くの開発者やアプリケーションに影響を及ぼしている。
  • Sonatypeのセキュリティ研究者が、人気のあるAWS、Microsoft、その他のオープンソースプロジェクトを模倣した250以上のnpmパッケージを特定した。
  • ロシアのハッカーが、アクティブなリバースシェルやRCE攻撃を含む悪意のあるパッケージを作成し、それを販売している。
  • この事件は、サイバーセキュリティ研究とサイバー犯罪の間の倫理的な曖昧な領域について疑問を投げかけ、Telegramが悪意のあるパッケージを販売していることが明らかになっている。
  • この事件は、継続的なサプライチェーンセキュリティの問題を露呈し、パッケージ管理が常に慎重に扱われなければならないことを示している。

この記事は、オープンソースエコシステムにおける悪意のあるパッケージの広まりやサプライチェーンセキュリティの問題について重要な警鐘を鳴らしています。セキュリティ研究と悪意ある活動の境界が曖昧になりつつあることに対して、今後も注意が必要です。

元記事: https://cybersecuritynews.com/hackers-250-npm-packages-mimic-aws-microsoft/