今回は、npmの最新機能「Staged Publishing」の仕組みやnpxのresolution仕様を着いた攻撃手法ついて解説。さらに、自社プロダクト「Takumi Guard」のGoモジュール対応の紹介と合わせ、Goエコシステム特有のキャッシュを悪用した攻撃についても語り合いました。🥟 今回のトピック オープニング 終わりのないソフトウェアサプライチェーン攻撃の現状 npmの新機能「Staged Publishing」とは? npmトップパッケージの対応状況をグラフで見る npxのresolution仕様による攻撃を読み解く パッケージ名に「malicious」と入れたらBANされた話 Takumi GuardがGoモジュールに対応 Goモジュールプロキシのキャッシュを悪用した攻撃手法 エンディング📚 参照・紹介した記事/サイト・Staged publishing for npm packages (npm Docs)https://docs.npmjs.com/staged-publishing・sxzz/npm-top-publishing (GitHub)https://github.com/sxzz/npm-top-publishing・npx Used Confusion and It's Super Effectivehttps://landh.tech/blog/20260521-npx-used-confusion-and-its-super-effective/・Takumi Guard が Go モジュールに対応 (Takumi ユーザーガイド)https://shisho.dev/docs/ja/releases/20260526-takumi-guard-golang/・Go Supply Chain Attack: Malicious Package Exploits Go Module Proxy Caching for Persistence (Socket)https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 Spotifyでも配信中: https://open.spotify.com/show/4V3QvwBK2bpsKwlDIvmoXJX: https://x.com/flatt_securityハッシュタグ: #ultrathinking#セキュリティ #npm #ソフトウェアサプライチェー #Go #脆弱性
感想
まだ感想はありません。最初の1件を書きましょう!