はじめに

本記事を執筆中にもフロントエンド界隈では React2Shell が一気に広まりました。

一見すると「React特有の問題」に見えるこの脆弱性ですが、背景にあるのは依存パッケージや開発フローを起点とした攻撃の現実です。

2025年はソフトウェア開発にとって、「サプライチェーン攻撃」「依存パッケージの汚染」「認証情報漏洩」 が特に注目された年でした。
多くの開発者・企業が日々使っているパッケージやCI/CDのワークフローなど、開発フロー自体が攻撃者のターゲットになりました。
本記事では、今年報告された代表的な事件をピックアップします。

INDEX

はじめに

(1) React Aria・GlueStackへの侵害— npm/PyPIをまたぐ供給連鎖リスク

(2) Shai-Hulud：npmエコシステムへの大規模侵害と影響

(3) GhostActionキャンペーン — GitHub Actionsを狙う認証情報窃取

(4) タイポスクワッティング事例：@acitons/artifactによるトークン窃取

まとめ：生成物ではなく“開発フロー”が攻撃対象に

SBOMとこれからの開発者に求められる視点

SBOM生成ツール「ONEKEY」サービス紹介

(1) React Aria・ GlueStackへの侵害 - npm / PyPI をまたぐ新たな供給連鎖リスク

2025年6月、PyPI や npm のエコシステムを標的としたマルウェア拡散キャンペーンが報告されました。複数のパッケージに不正コードが埋め込まれ、インストール時に任意のシェルコマンド実行、スクリーンショット取得、ファイルアップロードなどが可能になるという内容でした。

該当パッケージはそれぞれダウンロード数も多く、日常的に使われていた可能性が高いことから、多数の開発者／プロジェクトが無自覚に被害を受けた懸念があります。

この事件は、JavaScript／Python のような主流言語のエコシステムだけでなく、クロス言語かつ広範囲にわたる“供給連鎖の脆弱性”を改めて浮き彫りにしました。

※本記事内容に関する出典・参考
New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally

Active NPM Attack Escalates: 16 React Native Packages for GlueStack Backdoored Overnight | aikido

Packages have been compromised · Issue #2894 · gluestack/gluestack-ui

(2) Shai-Hulud - npm エコシステムへのインパクト

2025年9月、世界最大の JavaScript パッケージレジストリである npm において、正規メンテナーアカウントの侵害を起点とした大規模サプライチェーン攻撃が確認されました。
改ざんされた複数の人気ライブラリが安全ではないパッケージとして流通し、多くの依存プロジェクトに潜在リスクが波及しました。

この侵害で配布されたマルウェアは、インストール時に挿入され、クラウド認証情報やシークレットを盗み出す機能を持ち、さらに CI／開発環境への持続的なアクセスを確保するバックドアとして動作します。

更に11月下旬にはShai-Hulud 2.0やShai-Hulud V2として第2波が確認されています。

※本記事内容に関する出典・参考
NPMサプライチェーン攻撃の現状と分析 | Trend Micro

Shai-Huludの悪夢再び：800件のnpmパッケージが感染し、シークレットがGitHub上に流出

Widespread Supply Chain Compromise Impacting npm Ecosystem | CISA

(3) GhostAction キャンペーン - GitHub ワークフローを狙った認証情報窃取

2025年9月、複数の公開リポジトリで、CI ワークフロー（GitHub Actions）を悪用したサプライチェーン攻撃が確認され、数千のトークン／APIキー／クラウド資格情報が漏洩したとの報告がなされています。

この攻撃で得た認証情報を使って他のパッケージやプロジェクト、クラウドリソースへ横展開が行われたとされ、規模の拡大と被害の拡散が懸念されました。

※本記事内容に関する出典・参考
The GhostAction Campaign: 3,325 Secrets Stolen Through Compromised GitHub Workflows | GitGuardian

Malicious NPM Package Found Targeting GitHub By Typosquatting on GitHub Action Packages | Veracode

(4) @acitons/artifact - タイポスクワッティングを利用した偽パッケージによるトークン窃取

2025年11月、セキュリティ研究機関は、GitHub Actions 用に広く使われる公式パッケージ @actions/artifact の名前をわずかに変えた偽パッケージ @acitons/artifact （「ti」を「it」に置き換えた）が公開されていたことを発見しました。
いわゆる“タイポスクワッティング (typographical-squatting)” を利用した攻撃です。

この偽パッケージは、削除されるまでに 206,000 回以上ダウンロード され、CI/CDランナーに組み込まれた際にビルド環境中の認証トークン (GitHub トークンなど) を窃取する仕組みを持っていたと報告されています。

この事例は、「1文字・1綴り」のズレによって起きるタイポスクワッティングが、開発者にとって致命的なリスクになり得るという現実を示しています。

※本記事内容に関する出典・参考
Malicious npm Package with 206K Downloads Targeting GitHub Repositories to Steal Tokens | gbhackers.

まとめ：生成物ではなく開発フロー自体が攻撃対象になってきている

振り返ると、今年のインシデントには共通点があります。

それは、「開発者が日常的に触れるものほど狙われた」ということです。

• npm / PyPI の依存パッケージ
• CI/CD のワークフロー
• 開発端末やローカル環境自体

便利であること、広く使われていること、信頼されていること、それらがすべて標的になっていると感じます。

リポジトリからリポジトリへ自己増殖していくマルウェアまで登場しているとなると、2021年のLog4Shellのような特定のライブラリへの注意だけでなく、開発フロー全体のセキュリティを考えないといけない時代になってきました。

コーディングエージェントが活躍の幅を広げていて、生成AIの波に乗るのも大事ですが進化していく攻撃の波にも開発者みんなで備えていけたらなと思います。

SBOMとこれからの開発者に求められる視点

今年のようなサプライチェーン攻撃や依存パッケージ汚染が常態化する中で、単に「脆弱性を恐れる」のではなく、どの部品がどこから来ているのかを可視化することの重要性がますます高まっています。

この “部品表” のような役割を果たすのが、SBOM（Software Bill of Materials） です。

SBOM は、ソフトウェアに含まれるコンポーネントや依存関係、ライセンス情報などを一覧化し、サプライチェーン全体の透明性を高めてくれる仕組みです。

これにより脆弱性を含む可能性のあるコンポーネントを 早期に把握し、対処する ことが可能になります。

ただし、SBOM の作成・維持・更新には通常大きな工数がかかるため、

現実の開発現場では課題になりがちです。そこで注目したいのが、『ONEKEY』 のような SBOM自動生成ツールです。

『ONEKEY』は、バイナリひとつをアップロードするだけで SBOM を自動生成 し、設計段階から生産終了までの ライフサイクル全体を監視できる SaaS プラットフォーム です。

手動で何日もかかる解析を AIベースで短時間に処理し、SBOM を生成できる点 が大きな特長です。
このようなツールを活用することで、以下のようなことが可能になります。

• ソースコードがなくても、バイナリイメージから SBOM を生成
• SBOM を使った 依存関係の可視化
• 最新の脆弱性情報との リアルタイム監視
• 法規制（例：EU Cyber Resilience Act など）への対応支援

特に、複雑化した依存関係や自動生成されたコード、CI/CD パイプラインを含む開発フローでは、「何がどこに含まれているか」を説明できる形で残すこと自体がサプライチェーン攻撃への強力な備えになります。

セキュアイノベーションではONEKEYサービスを提供しております。

製品の特長

• AIベースの解析で、手動で5日を要する解析をわずか30分で分析可能
• SBOM （Software Bill of Materials）の自動生成
• ソースコードは不要。バイナリファームウェアイメージで動作
• 設計から生産終了まで、製品ライフサイクルの監視が可能
• ソフトウェア開発キットのインストール / 統合不要
• APIによる簡単な連携
• オンプレミスのサブスクリプションプランあり

詳細はこちら
資料請求・デモ画面確認のお申込み受付中
https://www.secure-iv.co.jp/onekey