出典:vercel.com
詳細を読む
Vercelは2025年11月24日、複数のnpmパッケージを標的としたサプライチェーン攻撃「Shai-Hulud 2.0」への対応を公表しました。同社環境への直接的な影響はないものの、脆弱なパッケージを利用した顧客ビルドが一部確認されています。Vercelは影響を受けた顧客へ個別に連絡し、被害拡大を防ぐための措置を講じました。
今回の攻撃は、開発者のアカウント乗っ取りを通じて行われました。攻撃者は正規のnpmパッケージ内の`package.json`にステルス性の高いローダーを混入させ、Bunランタイムを検出して悪意あるスクリプトを密かに実行する仕組みを構築していました。これにより、開発者のビルド環境が危険にさらされる可能性があります。
Vercelは顧客の安全を最優先し、即時の対応策を実施しました。具体的には、脆弱なパッケージを取り込んだプロジェクトのキャッシュをリセットし、ローダーが実際に実行されたかどうかの詳細な調査を継続しています。影響が懸念されるビルドを持つ顧客には、詳細な緩和策が直接案内されています。