Upgrade to Pro — share decks privately, control downloads, hide ads and more …

npmパッケージのサプライチェーン問題

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for atsushi, sada atsushi, sada
December 08, 2025
Technology
2
100

 npmパッケージのサプライチェーン問題

Findy TECH BATON シリーズ第6弾!「あなたの知らない ”サプライチェーン攻撃”を語る セキュリティ Night」での登壇資料です。
https://findy.connpass.com/event/375960/

npmのサプライチェーンセキュリティの問題に対してインシデントレスポンスを中心にプロダクトサイドとコーポレートサイドの両方に関わるオペレーションについて軽く紹介しました。

Avatar for atsushi, sada

atsushi, sada

December 08, 2025
Tweet

More Decks by atsushi, sada

See All by atsushi, sada
BlackHat Asia 2025 Arsenal Slides: sisakulint - CI-Friendly static linter with SAST, semantic analysis for GitHub Actions
Avatar for atsushi, sada 4su_para
0
240
[JSAC 2025 LT] Introduction to MITRE ATT&CK utilization tools by multiple LLM agents and RAG
Avatar for atsushi, sada 4su_para
1
490
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
Avatar for atsushi, sada 4su_para
1
540
とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し
Avatar for atsushi, sada 4su_para
2
710

Other Decks in Technology

See All in Technology
猫でもわかるKiro CLI(セキュリティ編)
Avatar for Hiroo Katoh kentapapa
1
250
衛星画像即時マッピングサービスの実現に向けて
Avatar for Yuji Kobayashi lehupa
1
280
意外と知ってそうでしらない、Reserved Instances の世界
Avatar for Yuji Masaoka | まっぴぃ mappie_kochi
0
160
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
2
1k
Three-Legged OAuth in AgentCore Gateway
Avatar for iganin hironobuiga
1
110
生成AIと余白 〜開発スピードが向上した今、何に向き合う?〜
Avatar for KAKEHASHI kakehashi
PRO
1
250
AI時代のAPIファースト開発
Avatar for 草薙昭彦 nagix
1
160
Getting started with Google Antigravity
Avatar for Mete Atamel meteatamel
0
200
ランサムウェア対策としてのpnpm導入のススメ
Avatar for Satoru Ishikawa ishikawa_satoru
0
340
AWSが推進する AI駆動開発ライフサイクル入門 〜 AI駆動開発時代に必要な人材とは 〜 / introduction_to_aidlc_and_skills
Avatar for Atsushi Fukui fatsushi
7
3.2k
ブログの作成に音声AIツールを使って音声入力しようとした話
Avatar for Makky12 smt7174
1
120
「技術的にできません」を越えて価値を生み出せ──研究開発チームをPMが率いて生み出した価値創出
Avatar for Takahiro Yamaguchi hiro93n
1
130

Featured

See All Featured
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
130
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
390
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
71k
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
920
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
460
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
120
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
340
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
3.9k

Transcript

  1. npmパッケージの サプライチェーン問題 Findy_tech baton LT #sec_wakate 2025/12/04 セキュリティ若手の会 1

  2. sada atsushi • fintechベンチャーで働く 24卒セキュリティエンジニア ◦ CSIRT: Cloud & Enterprise

    Security • 修了 ◦ セキュリティ・キャンプ全国大会 2021 ◦ SecHack365 2023 • 所属 ◦ Finatext inc. (4419) 2 自己紹介 セキュリティ若手の会 CONFIDENTIAL • プログラマー ◦ sisakulint: GitHub Actionsの静的解析&Autofix ◦ disarmBot: マルチLLM AgentでMITRE ATT&CK有効活用 ◦ MachStealer: macOS向けChromeの擬似InfoStealer • 同人誌2冊に寄稿 ◦ サークル名:Security For Beginners • ワークショップ1本 ◦ LLMセキュリティの攻防入門 • 講演 ◦ BlackHat Arsenal ◦ JSAC ◦ AWS Security JAWS

  3. 3 サプライチェーンセキュリティは横断的テーマ セキュリティ若手の会 CONFIDENTIAL プロダクトセキュリティ コーポレートセキュリティ 脆弱性診断・ペネトレーションテスト クラウドセキュリティ インシデントレスポンス 脆弱性管理

    端末管理 内部・外部の監査やポリシーの策定 仕組みづくりによる診断の補完

  4. 4 横断的テーマを各幹事が取り扱っている セキュリティ若手の会 CONFIDENTIAL プロダクトセキュリティ コーポレートセキュリティ 脆弱性診断 クラウドセキュリティ インシデントレスポンス 脆弱性管理

    仕組みづくりによる診断の補完 aquaから学ぶパッケージマネージャーの選び方 OSSをつくる人・つかう人と伴走する セキュリティ診断AIエージェント バグハンター視点による サプライチェーンの脆弱性 npmパッケージの サプライチェーン問題

  5. 対策については触れず • 問題の切り分け • 影響調査・インシデントレスポンス の話をメインでやります 5 セキュリティ若手の会 CONFIDENTIAL disclaimer

  6. 最近のインシデントレスポンス 問題の切り分け • actions等CIのworkflowで悪意のあ るパッケージが動いた形跡がない か • 開発者端末で悪意のあるパッケー ジが動き「情報の持ち出し 等の」痕

    跡がないか セキュリティ若手の会 6 CONFIDENTIAL https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised npmパッケージのサプライチェーン問題

  7. 前半と後半で異なる対応 • 前半では、まず使ってるライブラリで、マルウェア が仕込まれているバージョンを使ってビルドして しまわなかったか の確認 ◦ 各リポジトリごとに「path:**/package-lock.json package_name」などのGitHubクエリ検索 ▪

    pnpm-lock.yaml とか yarn.lockも ◦ 各versionを見て一致してしまっていないか、裏をとる ◦ GitHub Security Advisory にIDが採番されたら DependaBotによる影響確認もできる セキュリティ若手の会 7 CONFIDENTIAL https://www.wiz.io/blog/shai-hulud-npm-suppl y-chain-attack

  8. セキュリティ若手の会 8 CONFIDENTIAL 仮に影響のあるバージョンを使っていたら インシデントレスポンスの王道の流れを実行 検出と分析、封じ込め、根絶、復旧 ◦ 影響を受けたリポジトリの洗い出しと感染経路の特定 ◦ 該当パッケージを除去するまでデプロイを一時停止

    ◦ exfiltrateされた可能性のある keyのローテーション ◦ クリーンな環境に復元 ▪ コンテナを活用した(ディスポーザブルな)サーバー管理の重要性

  9. 前半と後半で異なる対応 • 後半では、マルウェアが仕込まれているバージョンを開発者端末で叩いてし まって影響を受けたものがないかどうかを確認する ◦ 確実に「情報の持ち出し」等の痕跡がないことを担保し説明可能な状態にする ◦ 静的解析と動的解析の結果を持って「影響があった・なかった」と判断したい ◦ InfoStealer

    ▪ 証券会社のアカウント乗っ取り問題で活躍(本件はブラウザのデータを狙うもの) ▪ 今回はローカルからの持ち出しや悪意のあるC2サーバーとの通信先がないかを特定したい セキュリティ若手の会 9 CONFIDENTIAL https://www.sompocybersecurity.com/column/glossary/ioc https://github.com/chalk/chalk/issues/656

  10. セキュリティ若手の会 10 CONFIDENTIAL IOCを活用したインシデントレスポンス • マルウェアの IOC ◦ Indicator of

    Compromise(侵害指標)の略であり、システムやネットワーク に侵害や攻撃があった際に残されるデータをさす。 ◦ 具体的には、システムログやマルウェアのシグネチャ、ハッシュ値、 IP アドレス、 URL、ドメイン名 など • IOCをもとにEDRのログをクエリし確認 https://www.stepsecurity.io/blog/sha1-hulud-th e-second-coming-zapier-ens-domains-and-ot her-prominent-npm-packages-compromised#i mmediate-remediation-steps

  11. ご清聴ありがとうございました Findy_tech baton LT #sec_wakate セキュリティ若手の会 11