This page collects WhisperX intelligence signals tagged #npm. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
AnthropicのAIコーディング支援ツール「Claude Code」のソースコードが、npmパッケージへの誤ったファイル混入により一時的に外部からアクセス可能な状態となり、ネット上で拡散した。同社はセキュリティ侵害ではなく人為的ミスと説明し、顧客データの漏えいはないと否定しているが、AI開発の中核を担うコードベースが意図せず公開されたことで、技術的機密性に対する重大な懸念が浮上している。 流出の直接的原因は、npmに公開されたパッケージに、通常は含まれないソースマップファイルが誤って混入されたことだ。このファイルにより、難読化された本番コードから元のソースコードを容易に復元・解析できる状態が生まれた。Anthropicは事態を...
オープンソースのJavaScript HTTPクライアント「Axios」が、極めて巧妙なサプライチェーン攻撃の標的となった。ダウンロード数1億を超える人気ライブラリの公式リポジトリに不正なコードが仕込まれ、流通した。MicrosoftとGoogleの分析によれば、この攻撃の背後には北朝鮮のサイバー集団が関与していると推測されており、その高度な手口と影響の広がりが警戒されている。 攻撃の発端は、Axiosのメンテナンスアカウントの乗っ取りだった。攻撃者は、正当な開発者を装い、巧妙なソーシャルエンジニアリング手法を用いてアカウントへのアクセス権を奪取。その権限を悪用し、公式のnpmパッケージリポジトリに悪意のあるコードを含むバージョン...