#npm

npmのメンテナーアカウント `atool` が侵害され、317個のパッケージに637個の悪性バージョンが公開された 影響を受けた中には `size-sensor`、`echarts-for-react`、`timeago.js`、そして多数の `@antv` 系パッケージが含まれる 月間ダウンロード数は合計で1500万超とされ、被害範囲がかなり広い ペイロードは認証情報の収集、GitHubへの漏えい、CI/CDへの永続化、AI開発ツールの乗っ取りまでやる しかも、単純な1回きりの攻撃ではなく、複数の経路で再感染しやすい設計になっているのが厄介 semver範囲（`^3.0.6` のような指定）を使っていると、`latest` タグを見ていなくても悪性版を自動で拾う可能性がある SafeDepの記事によると、2026年5月19日、npm のメンテナーアカウント `atool` が侵害されました。 その結果、22分という短時間に、317個のパッケージへ637個の悪性バージョンが一気に公開されたそうです。 ここで地味に