最近、話題のnpmのサプライチェーン攻撃Shai-Huludについての記事。

感染しているか簡易的に確認したい

自分のプロジェクトがShai-Huludに感染しているかを簡易的に確認したい。

何を確認すれば良い？

自分のプロジェクトのpackage-lock.jsonやyarn.lockに汚染されたパッケージが含まれているかを確認すれば良い。

汚染されたパッケージのリストは？

2025/09/26現在、下記のURLのリストが比較的更新されていそう。

https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

どう確認したら良い？

package-lock.jsonに汚染されたリスト内のパッケージが含まれているかを、照らし合わせたら良い。

下記に私が書いたスクリプトを置いておくので、ご自由にお使い下さい。

https://github.com/flyingbarbarian/dependency-npm-package-checker

簡単なシェルスクリプトなので、ご自分の環境に合わせて好きに改変して使って下さい。
コードのサンプル程度に考えてもらえれば良いです。

感染しているか正確に確認したい

正確な検出方法は私には分かりませんでした。
分かる範囲でベターな選択肢を取りたいというのが、この記事のモチベーションです。
アンチウイルスソフトとかで検出出来るんですかね？
分かる人居たら教えて下さい。