Mini Shai-Hulud 2nd Waveの概要と対策
2026年5月11日から発生した`@tanstack`エコシステムを中心とする「Mini Shai-Hulud」サプライチェーン攻撃の第二波について、侵害手法、被害内容、そして具体的な対策の概要を解説します。
入力して検索を開始
2 posts
2026年5月11日から発生した`@tanstack`エコシステムを中心とする「Mini Shai-Hulud」サプライチェーン攻撃の第二波について、侵害手法、被害内容、そして具体的な対策の概要を解説します。
少なくとも現在はVercelでSubdomain Takeoverを行うことは難しい。
Paradigm Shift が Synopsys DWC2 USB コントローラの DMA 不整合と SecureROM 設定の組み合わせで A12・S4/S5・A13 の BootROM を侵害する usbliter8 を公開した。不変の BootROM のため新ハードウェアへの移行が実効的な対処となる。
プライベートな MCP サーバーを公開せずに、ChatGPT や Codex などから利用するためのアウトバウンド専用トンネル機構を案内した。tunnel-client が OpenAI 側のキューを長輪講し、ローカルに転送して応答を返す。
Claude Code のプラグインとして、コード編集時にコマンドインジェクションや XSS などの危険パターンを検出して警告する Security Guidance が追加された。
AIによる推論を活用し、コードベース全体から脆弱性を特定して修正案の検証までを行うセキュリティプラットフォームが発表された。
コーディングエージェントを活用し、コードベースの脆弱性を調査するオープンソースのセキュリティスキャナであるdeepsecが公開された。
Node.js 22 以上が必須で本体は pure ESM になった。供給網向けの既定が強まり、ストアは SQLite インデックス、publish 系は npm CLI 非依存のネイティブ実装に切り替わった。
CVE-2026-33017、POST /api/v1/build_public_tmp の任意data経由でexecに至る未認証RCE、CVSS 9.3、影響は1.8.1以下、修正は1.9.0以上。
信頼できないコードを安全に実行するための軽量Linux microVM API。ネットワーク制御やシークレット保護機能を備え、Deno Deploy上で動作する。
Node.jsが3件のHigh深刻度脆弱性(Buffer確保、ファイルシステム権限バイパス、HTTP/2クラッシュ)と、async_hooksに起因するDoS脆弱性(CVE-2025-59466)などを含むセキュリティリリースを公開した。影響を受けるリリースラインは20.x, 22.x, 24.x, 25.x。
React Server Componentsの重大な脆弱性「React2Shell」(CVE-2025-55182)が公開され、リモートコード実行の可能性がある。パッチバージョンへのアップグレードが推奨される。
ブラウザーの互換性を解決するためのサービス Pollyfill.io が、中国の Funnull 社に売却されました。現代のサービスで Pollyfill.io が必要になることはほぼないと思いますが、今でも少なくないサービスで利用されています。