北朝鮮の偽パッケージがnpmで秘密を盗む

2026年07月04日 スペイン語から翻訳・公開

北朝鮮に関連する偽のソフトウェアパッケージ群が、正規のツールを装ってnpmプラットフォームに侵入しました。目的は、アクセスキーやトークンなどの開発者の秘密情報を盗むことでした。一般市民にとって、これは私たちが日常的に使用するアプリケーションやサービスが、知らないうちに侵害され、個人情報や財務データが流出した可能性があることを意味します。結論は明白です。不審なアップデートに警戒し、検証済みの情報源のみを信頼する必要があります。

悪意のあるnpmパッケージ侵入の様子、偽パッケージのインストールプロセスを表示する端末がある開発者のワークステーション、隠されたトークン流出機能を表示するコードエディタウィンドウ、外部サーバーにデータが吸い上げられていることを示すネットワークトラフィックの可視化、依存関係ツリー図に光る赤い警告、映画のようなサイバーセキュリティのビジュアライゼーション、ネオンの警告が強調された暗いインターフェース、リアルなキーボードとモニターの詳細、フォトリアリスティックなテクニカルイラスト、脅威を強調する劇的なローキー照明

npmエコシステムにおける詐欺の手口 🛡️

攻撃者は、cross-env の代わりに crossenv のように、既知のライブラリと類似した名前のパッケージを公開しました。インストールされると、環境変数、設定ファイル、クラウドサービスの認証情報を外部に流出させる悪意のあるスクリプトを実行しました。タイポスクワッティングとして知られるこの手法は、人気のある名前を模倣することで開発者の信頼を悪用します。影響範囲は広く、これらのパッケージに依存していたプロジェクトはサプライチェーンを侵害され、結果としてそのソフトウェアを使用する企業やエンドユーザーに影響を及ぼした可能性があります。

何もアップデートしないための完璧な言い訳 😅

さて、上司からプロジェクトの依存関係をすべてアップデートするよう求められたら、真剣な顔でこう答えられます。北朝鮮のハッカーに社内の電卓のコードを盗まれるリスクは避けたいです。 そうです、最も無害に見えるパッケージでさえ罠になり得るのです。つまり、npm install を実行する前に、名前を二度確認してください。あるいは、動作している古いバージョンを使い続けるのが一番です。技術的な怠惰にも、ついに良い面が見つかりました。