サイバー犯罪グループによる大規模なサプライチェーン攻撃が、世界中の開発者が依存するオープンソースプロジェクトを標的にしています。セキュリティ企業 StepSecurity と SafeDep は、悪意のある更新プログラムを配布し、開発者経由で下流のユーザーへマルウェアを拡散させる一連の攻撃を警告しました。SafeDep の分析によると、犯人は開発者のアカウントを乗っ取り、わずか 20 分間で 317 種類のパッケージに 630 以上の不正なバージョンを公開しました。この攻撃の主目的は、パスワードマネージャーなどの認証情報を窃取し、さらなるマルウェアの拡散を図ることにあります。被害に遭ったパッケージには、アリババが開発したライブラリ「Antv」が含まれており、一部の悪意のあるアップデートは GitHub に公開されました。JFrog Security は、この一連の攻撃を「Mini Shai-Hulud」と名付けました。これは、より大規模な過去の攻撃キャンペーンに続くものです。先週には、このキャンペーンの一環として、オープンソースライブラリ「TanStack」がハッキングされたことで、OpenAI の従業員 2 人のコンピュータが乗っ取られる事態も発生しました。OpenAI は被害者の一部に過ぎず、今回の攻撃はグローバルな技術インフラ全体を脅かす広範なキャンペーンの一部です。開発者らは、サプライチェーンの脆弱性を悪用したこの脅威に対し、継続的な監視と対策の強化が緊急に求められています。