パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。

パッケージを利用する側

npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。

ロックファイルを使う

• npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル（例: package-lock.json, yarn.lock, pnpm-lock.yaml）を使用する

GitHub ActionsではSHA Pinを行う

• pinactなどを使ったGitHub ActionsのSHA Pinを行う
• また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする
  • https://github.blog/changelog/2025-08-15-github-actions-policy-now-supports-blocking-and-sha-pinning-actions/
• renovatebotもdependabotも - uses: actions/checkout@08c6903cd8c0fde910a37f88322edcfb5dd907a8 # v5.0.0 みたいな書式でアップデートは対応してるので、pre-commitとかにSHA Pinする処理を入れれば気にすることは特になくなる
  • GitHub Action tj-actions/changed-files supply chain attack | Wiz Blogのような問題を避けるために必要

GitHub Actionsには最小の権限を与える

• permissionsを設定して、必要な権限だけを与える
• 例えば、contents: readだけで良い場合は、他の権限を与えない
• あまりGitHub Actions側で明確に定義されてないことがあるのでツールは以前書いた
• GitHub Actionsのpermissionsを自動で設定するツールを書いた | Web Scratch
• zizmorcore/zizmorやsuzuki-shunsuke/ghalintなどpermissionsの有無はチェックできる

依存のインストール

postinstallなどのLifecycle scriptsをインストールに実行しないようにする。
多くのnpmで配布されるマルウェアはpostinstallでコードを実行して、機密情報を盗み出すといった攻撃を行う。(npm debug and chalk packages compromisedのようにブラウザで実行するタイプなどもあるが、攻撃がワンテンポ遅れるので成功確率も下がる)

pnpm 10では、Lifecycle Scriptsがデフォルトでは実行されない挙動となっていて、必要なパッケージのみpnpm approve-scriptなどで許可する方式になっている。

• pnpm 10.0.0 Blocks Lifecycle Scripts by Default - Socket
• Release pnpm 10 · pnpm/pnpm

bunでは、許可リスト方式で一部は自動的に許可されるが、他のパッケージはLifecycle Scriptsがデフォルトでは実行されないようになっている。

• https://bun.com/docs/install/lifecycle

npmなどでは--ignore-scriptsが同様のオプションだが、npmなどは特定のパッケージのみを許可することが難しいので、pnpm以外では実際には運用するのは難しいと思う。

依存のアップデート

サプライチェーン攻撃起きてからすぐパッケージをアップデートしてしまうと受動的に攻撃を受ける可能性がある。
そのため、パッケージが公開されてから1週間経ってからアップデートするPRを作るようなオプションをdependabotやrenovateでは有効にする。

• renovatebot: minimumReleaseAgeを設定する
• dependabot: cooldownを設定する

追記: pnpm 10.16でminimumReleaseAgeという同様の役割のオプションが追加された
pnpmの場合は、インストールなどあらゆる状況に影響するオプションとなっているので、セキュリティアップデートなどを考えると1日などある程度の長過ぎないような値が現実的となる。

• Release pnpm 10.16 · pnpm/pnpm
• Mitigating supply chain attacks | pnpm

renovatebot/dependabotを装ってlockfileを意図しない形でアップデートする攻撃も考えられる。この場合 dependabotなら手動でマージボタンは押さないで @dependabot merge コメントをすることで、本物のdependabotかを見分けることができる(権限がない偽物ならマージはできないため)
renovatebotだとこれに対応する方法はないけど、最近はpnpmを使っているのであまり気にしなくなった。この問題をチェックするツールも存在する。

• lirantal/lockfile-lint: Lint an npm or yarn lockfile to analyze and detect security issues

pnpm catalogではlockfileのズレが pnpm install時にエラーにならないバグがあるけど、workaroundで検出はできる

• pnpm install --frozen-lockfile does not throw an error when the lockfile is out of sync with pnpm-workspace.yaml's catalog · Issue #9369 · pnpm/pnpm

スキャンを通してないパッケージをnpxで叩かない

• MCP系で特に問題になる
• npxはバージョン指定がないと、最新のパッケージを自動でダウンロードして実行してしまうので、パッケージが安全なのかを確認してから実行する必要がある
• 繰り返し実行するなら、そもそもnpxでダウンロードしないで、devDependenciesに入れておいてロックするなどバージョンを固定する
• npxで叩く場合は、バージョンを指定する e.g. npx example-package@1.2.3
  • パッケージの孫依存(Transitive dependency)は固定されないが、latestよりは良い
• azu/ni.zshやryoppippi/bun-socket-scannerでは、Socket.devを使ったスキャンを行ってからパッケージを実行できる
• npmやnpxなどの既存のコマンドをラップする形でスキャンするツールだとsocket npm & socket npxやAikidoSec/safe-chainなどがあります

AI AgentはSandboxで実行する

• 勝手に外部パッケージを入れたり色々しちゃうため
• サンドボックス環境で実行することで、ホストOSへの影響を最小限に抑える
  • 主にたどれるべきではないファイルやネットワークにアクセスされるのを防ぐ
• macOSなら軽量なサンドボックスとしてsandbox-execを使う
  • Claude Codeをサンドボックス上で実行する(Mac編)
• DevContainersなどDockerコンテナで実行する

---

ざっくりまとめると多層防御的な話になるので、次のようなイメージです。
難しそうな感じはしますが、普通に使えば普通にやってくれるツールは増えているので、そこまで無理なくやっていけるかなという感じはしています

1. ロック（version pinning / lockfile 固定）
2. 事前スキャン（sockets.dev 等で既知リスク検出）
3. インストール (Lifecycle Scriptsを実行しない、minimumReleaseAge)
4. アップデート（Renovate / Dependabot の cooldown: 7日）
5. 検証・改ざん検出（署名 / checksum / lockfile 整合性/ SBOM / 差分検証）

---

パッケージを公開する側

npm registryにパッケージを公開する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。
攻撃者に認証情報を盗まれないようにする方法、アカウントを乗っ取られた場合の被害を軽減する方法などについて

npmの今後の方針については次の記事にまとまっています。

• Our plan for a more secure npm supply chain - The GitHub Blog

コミットはsecretlintを通す

• secretlintを使って、コミットに秘密情報が含まれていないかをチェックする
• 機密情報はprivate repositoryであっても漏洩する可能性があるので、コミットに含めない

ローカルに生tokenを置かない

• マルウェアなどはローカルのファイルを集めて盗み取ることが多い
  • Infostealerと呼ばれる攻撃です
  • nxの事例ではAI Agentを使ってローカルの認証情報などを集めて盗み取っていた
  • https://www.wiz.io/blog/s1ngularity-supply-chain-attack
• そのため、ローカルであっても生の認証情報をファイルに置かない
• Git管理外のファイルもコミットするファイルと同等の意識で管理する
  • 認証情報は1Passwordなどのパスワードマネージャーに保存し、opコマンドなどで実行時に取得する
  • 1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した | Web Scratch
  • Secret Manager的なことをローカルでも行う

TokenのScopeを最小にする

• npmはGranular access tokens
• GitHubはGitHub AppsやFine-grained personal access tokens
• それぞれ最小のスコープを設定したtokenを利用する
• npmはほぼtokenが不要になってきているので、できる限りtokenを発行しないようにする
• GitHubは最小のスコープ(リポジトリと権限)のtokenを発行する
• 広いスコープ(リポジトリ)のtokenはghコマンドぐらいになるイメージで、このtokenも1password連携を使うことでローカルに生のtokenとして存在しない状態にできる

GitHub ActionsはSecurity Checkを行なってからマージする

• GitHub Actionsには典型的なScript Injectionの問題がある
• - run: echo "${{ github.event.issue.title }}" のように書いたStepがあると、Issueのタイトルに悪意のあるコードを書かれると、そのコードが実行されてしまう
• https://securitylab.github.com/resources/github-actions-untrusted-input/
• そのため、GitHub ActionsのWorkflowを変更するPRは、Security Checkを行なってからマージする
  • 自分の場合は、zizmorcore/zizmorをコミット時に通している
  • 最近メンテナンスが止まっているがrhysd/actionlintも同様のScript Injectionを検出できる
  • suzuki-shunsuke/ghalintも類似するツール
• 背景としては、AdnaneKhan/gato-xのようなツールで、このような脆弱性があるGitHub Actionsは自動的に見つけることができる
  • 実際にnxの攻撃の起因となったGitHub Actionsの問題も、実際にインシデント起きる1週間前には発見されている
  • これらのツールを回して脆弱なPublicリポジトリを見つけて、攻撃を仕掛ける攻撃者がいる

npmのTrusted PublishingとOIDC連携を使ってトークンレスでCIからnpmパッケージを公開する

• npm tokenが発行されていること自体がリスクなので、できる限りnpm tokenを発行しないようにする
• CIからのPublishの用途にはOIDC連携を使うことで、npm tokenを発行せずにパッケージを公開できる
• npm Trusted PublishingでOIDCを使ってトークンレスでCIからnpmパッケージを公開する | Web Scratch

npmは"Require two-factor authentication and disallow tokens"を設定する

Require two-factor authentication and disallow tokens
With this option, a maintainer must have two-factor authentication enabled for their account, and they must publish interactively. Maintainers will be required to enter 2FA credentials when they perform the publish. Automation tokens and granular access tokens cannot be used to publish packages.
https://docs.npmjs.com/requiring-2fa-for-package-publishing-and-settings-modification

• npmのRequire two-factor authentication and disallow tokensをパッケージに設定すると、公開にも2要素認証が必要になるため、npm tokenを使ったパッケージの公開はできなくできる
• publishに使えるnpm tokenがあること自体がリスクなので、npm tokenだけではパッケージを公開できないようにすることで攻撃をしにくくする
  • たとえば、ctrl/tinycolor and 40+ NPM Packages Compromised - StepSecurityの攻撃は自動で npm publish してマルウェアを拡散していたけど、この部分は動かなくなる
• これをデフォルトにしたいという要望を投げている -> Feature Request: Make “Require two-factor authentication and disallow tokens” as default on newly published packages · community · Discussion #172886

MFAはフィッシング耐性の高いものを使う

• SMS/TOTPはフィッシング耐性が低いので、できる限りフィッシング耐性の高いMFAを使う
• WebAuthn/FIDO2などのセキュリティキー/Passkeyを使う
• パスワード管理/MFA管理の戦略 | Web Scratch
• OIDCなどでnpm token自体を減らせたので、自分の場合はnpmにはセキュリティキーのみ(+バックコードを保存)をMFAとして登録している
• GitHubもセキュリティキーのみをMFAにしたいが、昔登録した Authenticator app が消せないというバグがある
  • How to remove authenticator app · community · Discussion #54699