アップデート 2025年10月15日 Socket Firewall Freeもbunに対応していることがわかった[1]ので、その旨追記しました。 前置き 2025年9月14日[2]、npmで公開されているパッケージに対する攻撃があったようです。今までの同様の攻撃と比べて規模が大きく、よく利用されるパッケージも攻撃を受け、またマルウェアがワームとして広がったことから注目されている気がします。 パッケージ利用者の観点からは、「信頼しているパッケージが攻撃されて、新しいバージョンにマルウェアが混入した」という、一般的なサプライチェーン攻撃の流れです。 とはいえ最近はサプライチェーン攻撃の頻度も増加し、規模も大きくなっているように思え、現実的な脅威を感じます。 残念ながらサプライチェーン攻撃に対しては、Webアプリケーション開発におけるXSSに対する適切なエスケープ、SQLインジェクションに対する