pnpm 10 のサプライチェーン防御 - postinstall を止めて依存を「承認」する
約8分
pnpm 10 はインストール時の依存のビルドスクリプト(postinstall 等)をデフォルトでブロックし、明示的に承認した依存だけ実行します。onlyBuiltDependencies や approve-builds、minimumReleaseAge を使った現実的なサプライチェーン防御設定を、手元の pnpm 10.12.4 の挙動を確認しながら整理します。
サプライチェーン攻撃5 件の記事
サプライチェーン攻撃 の記事
【続報】TeamPCP が GitHub 内部リポジトリ3,800件を流出 - 汚染 VS Code 拡張と npm staged publishing
約11分
2026年5月、TanStack 事件を起こした TeamPCP が汚染 VS Code 拡張「Nx Console」を経由して GitHub 従業員端末を侵害し、内部リポジトリ約3,800件を流出させた事件を整理します。攻撃チェーン、ペイロード、そして npm が投入した staged publishing(2FA承認ゲート)まで。
【サプライチェーン攻撃】2026年5月11日 TanStack 乗っ取り事件 - SLSA provenance が効かなかった日
約26分
2026年5月11日に発生したTanStack npmサプライチェーン攻撃を、GitHubActions、OIDC、SLSA provenance、Mini Shai-Huludの文脈から整理します。
【サプライチェーン攻撃】2026年3月31日、npmパッケージ「axios」乗っ取り事件の全容と対策
約17分
週1億ダウンロードを誇るnpmパッケージ「axios」が、北朝鮮系脅威アクターによって乗っ取られた事件を解説。攻撃の手口、影響を受けたバージョン、自分のプロジェクトの確認方法、今後の防御策をまとめます。
【緊急】npm パッケージ「axios」が乗っ取られた事件まとめ — 2026年3月31日のサプライチェーン攻撃
約13分
2026年3月31日、週間1億ダウンロードを超える人気パッケージ「axios」のnpmアカウントが乗っ取られ、悪意あるバージョン1.14.1と0.30.4が公開されました。攻撃の全容、影響を受けるバージョンの確認方法、今後の防御策をまとめます。