$30 off During Our Annual Pro Sale. View Details »

npmパッケージのサプライチェーン問題

Avatar for atsushi, sada atsushi, sada
December 08, 2025
Technology
1
53

 npmパッケージのサプライチェーン問題

Findy TECH BATON シリーズ第6弾!「あなたの知らない ”サプライチェーン攻撃”を語る セキュリティ Night」での登壇資料です。
https://findy.connpass.com/event/375960/

npmのサプライチェーンセキュリティの問題に対してインシデントレスポンスを中心にプロダクトサイドとコーポレートサイドの両方に関わるオペレーションについて軽く紹介しました。

Avatar for atsushi, sada

atsushi, sada

December 08, 2025
Tweet

More Decks by atsushi, sada

See All by atsushi, sada
BlackHat Asia 2025 Arsenal Slides: sisakulint - CI-Friendly static linter with SAST, semantic analysis for GitHub Actions
Avatar for atsushi, sada 4su_para
0
230
[JSAC 2025 LT] Introduction to MITRE ATT&CK utilization tools by multiple LLM agents and RAG
Avatar for atsushi, sada 4su_para
1
440
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
Avatar for atsushi, sada 4su_para
1
520
とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し
Avatar for atsushi, sada 4su_para
2
690

Other Decks in Technology

See All in Technology
日本Rubyの会の構造と実行とあと何か / hokurikurk01
Avatar for Masayoshi Takahashi takahashim
4
1k
直接メモリアクセス
Avatar for KOBA789 koba789
0
290
エンジニアリングマネージャー はじめての目標設定と評価
Avatar for d-haru halkt
0
270
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
Avatar for sh_fk2 sh_fk2
1
250
最近のLinux普段づかいWaylandデスクトップ元年
Avatar for Takuma Nakajima penguin2716
1
680
AI 駆動開発勉強会 フロントエンド支部 #1 w/あずもば
Avatar for 1ft-seabass 1ftseabass
PRO
0
320
Ruby で作る大規模イベントネットワーク構築・運用支援システム TTDB
Avatar for Taketo Takashima taketo1113
1
260
MLflowで始めるプロンプト管理、評価、最適化
Avatar for Databricks Japan databricksjapan
1
140
OCI Oracle Database Services新機能アップデート(2025/09-2025/11)
Avatar for oracle4engineer oracle4engineer
PRO
1
100
eBPFとwaruiBPF
Avatar for Satoru Takeuchi sat
PRO
4
2.5k
GitHub Copilotを使いこなす 実例に学ぶAIコーディング活用術
Avatar for 74th(Atsushi Morimoto) 74th
3
2.5k
EM歴1年10ヶ月のぼくがぶち当たった苦悩とこれからへ向けて
Avatar for maaaato maaaato
0
270

Featured

See All Featured
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.7k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
0
510
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
36
6.2k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
1
97
Scaling GitHub
Avatar for Zach Holman holman
464
140k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.4k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k

Transcript

  1. npmパッケージの サプライチェーン問題 Findy_tech baton LT #sec_wakate 2025/12/04 セキュリティ若手の会 1

  2. sada atsushi • fintechベンチャーで働く 24卒セキュリティエンジニア ◦ CSIRT: Cloud & Enterprise

    Security • 修了 ◦ セキュリティ・キャンプ全国大会 2021 ◦ SecHack365 2023 • 所属 ◦ Finatext inc. (4419) 2 自己紹介 セキュリティ若手の会 CONFIDENTIAL • プログラマー ◦ sisakulint: GitHub Actionsの静的解析&Autofix ◦ disarmBot: マルチLLM AgentでMITRE ATT&CK有効活用 ◦ MachStealer: macOS向けChromeの擬似InfoStealer • 同人誌2冊に寄稿 ◦ サークル名:Security For Beginners • ワークショップ1本 ◦ LLMセキュリティの攻防入門 • 講演 ◦ BlackHat Arsenal ◦ JSAC ◦ AWS Security JAWS

  3. 3 サプライチェーンセキュリティは横断的テーマ セキュリティ若手の会 CONFIDENTIAL プロダクトセキュリティ コーポレートセキュリティ 脆弱性診断・ペネトレーションテスト クラウドセキュリティ インシデントレスポンス 脆弱性管理

    端末管理 内部・外部の監査やポリシーの策定 仕組みづくりによる診断の補完

  4. 4 横断的テーマを各幹事が取り扱っている セキュリティ若手の会 CONFIDENTIAL プロダクトセキュリティ コーポレートセキュリティ 脆弱性診断 クラウドセキュリティ インシデントレスポンス 脆弱性管理

    仕組みづくりによる診断の補完 aquaから学ぶパッケージマネージャーの選び方 OSSをつくる人・つかう人と伴走する セキュリティ診断AIエージェント バグハンター視点による サプライチェーンの脆弱性 npmパッケージの サプライチェーン問題

  5. 対策については触れず • 問題の切り分け • 影響調査・インシデントレスポンス の話をメインでやります 5 セキュリティ若手の会 CONFIDENTIAL disclaimer

  6. 最近のインシデントレスポンス 問題の切り分け • actions等CIのworkflowで悪意のあ るパッケージが動いた形跡がない か • 開発者端末で悪意のあるパッケー ジが動き「情報の持ち出し 等の」痕

    跡がないか セキュリティ若手の会 6 CONFIDENTIAL https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised npmパッケージのサプライチェーン問題

  7. 前半と後半で異なる対応 • 前半では、まず使ってるライブラリで、マルウェア が仕込まれているバージョンを使ってビルドして しまわなかったか の確認 ◦ 各リポジトリごとに「path:**/package-lock.json package_name」などのGitHubクエリ検索 ▪

    pnpm-lock.yaml とか yarn.lockも ◦ 各versionを見て一致してしまっていないか、裏をとる ◦ GitHub Security Advisory にIDが採番されたら DependaBotによる影響確認もできる セキュリティ若手の会 7 CONFIDENTIAL https://www.wiz.io/blog/shai-hulud-npm-suppl y-chain-attack

  8. セキュリティ若手の会 8 CONFIDENTIAL 仮に影響のあるバージョンを使っていたら インシデントレスポンスの王道の流れを実行 検出と分析、封じ込め、根絶、復旧 ◦ 影響を受けたリポジトリの洗い出しと感染経路の特定 ◦ 該当パッケージを除去するまでデプロイを一時停止

    ◦ exfiltrateされた可能性のある keyのローテーション ◦ クリーンな環境に復元 ▪ コンテナを活用した(ディスポーザブルな)サーバー管理の重要性

  9. 前半と後半で異なる対応 • 後半では、マルウェアが仕込まれているバージョンを開発者端末で叩いてし まって影響を受けたものがないかどうかを確認する ◦ 確実に「情報の持ち出し」等の痕跡がないことを担保し説明可能な状態にする ◦ 静的解析と動的解析の結果を持って「影響があった・なかった」と判断したい ◦ InfoStealer

    ▪ 証券会社のアカウント乗っ取り問題で活躍(本件はブラウザのデータを狙うもの) ▪ 今回はローカルからの持ち出しや悪意のあるC2サーバーとの通信先がないかを特定したい セキュリティ若手の会 9 CONFIDENTIAL https://www.sompocybersecurity.com/column/glossary/ioc https://github.com/chalk/chalk/issues/656

  10. セキュリティ若手の会 10 CONFIDENTIAL IOCを活用したインシデントレスポンス • マルウェアの IOC ◦ Indicator of

    Compromise(侵害指標)の略であり、システムやネットワーク に侵害や攻撃があった際に残されるデータをさす。 ◦ 具体的には、システムログやマルウェアのシグネチャ、ハッシュ値、 IP アドレス、 URL、ドメイン名 など • IOCをもとにEDRのログをクエリし確認 https://www.stepsecurity.io/blog/sha1-hulud-th e-second-coming-zapier-ens-domains-and-ot her-prominent-npm-packages-compromised#i mmediate-remediation-steps

  11. ご清聴ありがとうございました Findy_tech baton LT #sec_wakate セキュリティ若手の会 11