AIクリエーターの道 ニュース:衝撃!npmサプライチェーン攻撃で企業開発者の認証情報が流出。AIが攻撃を高度化! #npm攻撃 #AIセキュリティ #サプライチェーン
🎧 音声で聴く
時間がない方は、こちらの音声でポイントをチェックしてみてください。
📝 テキストで読む
じっくり読みたい方は、以下のテキスト解説をご覧ください。
npmのサプライチェーン攻撃が急増中:企業開発者の認証情報が数千件露出
こんにちは、Jonです。AIやテクノロジーの最新トピックをやさしく解説するこのブログでは、今日も皆さんが気になるニュースを取り上げます。今回は、npm(Node Package Managerの略で、JavaScriptのプログラムを簡単に共有・管理するためのツール)に関連したセキュリティ問題についてお話しします。2025年8月28日にInfoWorldで報じられたように、npmのサプライチェーン攻撃(ソフトウェアの供給経路を悪用したサイバー攻撃のこと)が波状的に発生し、数千件の企業開発者の認証情報(パスワードやアクセスキーなどの秘密のデータ)が露出してしまいました。この記事では、初心者の方にもわかりやすいように、事件の背景と詳細を順番に説明していきます。
事件の概要:NxビルドシステムとReactパッケージが標的に
この攻撃は、主にNx(エヌエックス)と呼ばれる人気のビルドシステム(ソフトウェアを効率的に構築・管理するためのツール)と、React(リアクト、Webアプリケーションを作成するためのJavaScriptライブラリ)関連のパッケージを狙ったものです。InfoWorldの記事によると、2025年8月28日時点で、これらのパッケージに悪意あるコードが仕込まれ、開発者の機密情報がGitHub(ギットハブ、コードを共有するオンラインサービス)に公開されてしまったとされています。
具体的に、Bastion.techのブログ(2025年8月27日公開)では、Nxのnpmパッケージが侵害され、マルウェア(悪意のあるソフトウェア)が埋め込まれた結果、数百万人の開発者がリスクにさらされていると指摘しています。このマルウェアは、APIキー(アプリケーション同士の通信に使う秘密の鍵)やクラウドアクセストークン(Amazon Web Servicesなどのクラウドサービスにアクセスするための認証情報)を盗み出し、GitHubに公開するという手口でした。攻撃者は、Nxのバージョン20.9.0から21.8.0にかけてのものを悪用したようです。
攻撃の詳細と影響:AIツールを悪用した巧妙な手口
このサプライチェーン攻撃は、単なるコードの改ざんではなく、AI(人工知能)ツールを活用した高度なものだったとされています。Black Hat Ethical Hackingのニュース(2025年8月29日頃公開)によると、攻撃者はNxのパッケージに悪意あるコードを注入し、インストールされたAI関連のCLIツール(コマンドラインインターフェース、コマンド入力で操作するツール)を悪用してファイルシステムをスキャン。そこから認証情報を収集し、外部に送信していたそうです。この攻撃は「s1ngularity(シンギュラリティ)」と名付けられ、macOS(Appleのオペレーティングシステム)ユーザーを中心に数千件の開発者クレデンシャルが盗まれたと報じられています。
AIVAnetの記事(2025年8月28日頃)では、Nxの担当者がこの攻撃を認め、1,000件以上の有効なGitHubトークン(GitHubへのアクセス権限を示すデータ)が漏洩した可能性を指摘しています。さらに、約20,000件のファイルと数十件の有効なクラウドクレデンシャル、npmトークンが盗まれたとのこと。影響を受けた企業や開発者は、すぐにサポートチームに連絡するよう勧められています。この攻撃は、npmパッケージの週次ダウンロード数が数百万回に上るNxの人気を逆手に取ったもので、ソフトウェア開発コミュニティ全体に衝撃を与えています。
- 攻撃の時系列: 2025年8月26日にNxパッケージのバージョン20.9から20.12、21.5から21.8が侵害され、postinstallスクリプト(パッケージインストール後に自動実行されるコード)を通じてクレデンシャルを盗むマルウェアが作動。
- 被害の規模: Hackreadの報道(2025年8月28日頃)では、数千件のmacOS開発者クレデンシャルがAIツールの助けを借りて盗まれたとされています。
- 類似の過去事例: BleepingComputer(2025年5月8日)では、別のnpmパッケージ「rand-user-agent」が侵害され、リモートアクセストロイの木馬(遠隔操作を可能にするマルウェア)が注入されたケースが報じられています。また、CSO Online(2025年7月25日)では、フィッシング攻撃(偽のメールなどで情報を騙し取る手口)によりJavaScriptのテストユーティリティが感染した事例も。
これらの攻撃は、npmエコシステム(npmを使ったソフトウェアの全体的な環境)の脆弱性を浮き彫りにしており、2025年に入ってからcredential theft(認証情報の窃取)が160%増加したというWebProNewsの指摘(2025年8月27日頃)とも一致します。
開発者と企業が取るべき対策:セキュリティの強化を急ごう
このような攻撃から守るために、Bastion.techのブログでは、以下の対策を推奨しています。これらは公式のアドバイスに基づくもので、すぐに実践できるものです。
- 侵害されたnxバージョンをインストールしていないか確認し、アップデートする(Nxの最新バージョンに更新)。
- すべての認証情報を回転させる(パスワードやトークンを新しく変更する)。
- ログを監査(過去のアクセス記録をチェックして不審な活動を探す)。
- サプライチェーンセキュリティを強化(依存するパッケージの信頼性を事前に検証するツールを使う)。
また、JFrog SecurityのX投稿(2025年8月27日)では、この攻撃がnxの約400万回の週次ダウンロードを悪用したことを強調し、敏感なデータの盗難を防ぐための注意喚起をしています。企業レベルでは、CrowdStrikeのようなセキュリティツールを導入して保護を強化するのも有効です(ただし、CrowdStrikeのブログは2021年の古い事例を参考にしていますが、原理は同様です)。
Jonとしてまとめると、このnpmのサプライチェーン攻撃は、ソフトウェア開発の日常がどれほどリスクを伴うかを教えてくれます。皆さんが安心して技術を楽しめるよう、定期的なアップデートとセキュリティチェックを習慣づけましょう。AIの進化が攻撃を巧妙化させる中、基本的な対策が命綱になります。
この記事は、以下の公開情報を参照し、筆者が事実確認を行ったうえで構成しました:
- Wave of npm supply chain attacks exposes thousands of enterprise developer credentials | InfoWorld
- Nx Supply Chain Attack Exposes Thousands of Developer Credentials on Github – What you should do to keep your organization secure
- Nx Supply Chain Attack Abuses AI Tools to Steal Developer Credentials | Black Hat Ethical Hacking
- NPM packages from Nx targeted in latest worrying software supply chain attack – AIVAnet
- Thousands of Developer Credentials Stolen in macOS “s1ngularity” Attack
- NPM Package NX Hit by Supply-Chain Attack Stealing Credentials
- Supply chain attack hits npm package with 45,000 weekly downloads
- Supply chain attack compromises npm packages to spread backdoor malware | CSO Online