Supabase 2026年5月25日(現地時間)発 - クラウド開発プラットフォームを提供するSupabaseは、Node Package Managernpm を標的としたサプライチェーン攻撃が拡大する中、自社プロジェクト保護のための一連の対策と、開発者が直ちに取り組むべき防御策を公式ブログで発表した。増加する攻撃からユーザーを守るべく、具体的なガイドラインが示されている。
Supabaseは、npmサプライチェーン攻撃への対応として、社内横断的な協調体制を構築し、対策を進めていることを明らかにした。
同社が実施中の対策には、公式ドキュメントにおけるセキュリティガイドの公開、GitHub Actionsの強化、createClientのような機密性の高い資格情報を取り扱うAPIへのセキュリティノートの追加、および開発者コミュニティへの広報活動が含まれる。これらの措置を通じて、同社はセキュリティ意識の向上と防御体制の強化を図っている。
npmサプライチェーン攻撃は、攻撃者が開発者のシステムに直接侵入するのではなく、信頼されているパッケージに悪意のあるコードを混入させることで発生する。一般的な攻撃パターンとしては、メンテナーアカウントの侵害、タイポスクワッティング(悪意のある類似名のパッケージを公開する手口)、およびビルドパイプラインの侵害が挙げられる。Supabase自身も、過去にsupabase-javascriptというタイポスクワットパッケージがnpm上に登場し、開発者をフィッシングする目的で同社の名前をコピーされた事例を経験しており、この問題の深刻さを認識している。
Supabaseは、開発者が今日から実施すべき対策として、以下の複数のステップを提示した。
- デフォルトでセキュリティ機能が強化されたpnpm 11へのアップグレード。
- 認証情報やその他の機密情報に触れる依存関係のバージョンを固定すること。
- ロックファイル(
pnpm-lock.yaml、package-lock.json、yarn.lockなど)をバージョン管理下にコミットし、変更点を常にレビューすること。 - プロジェクトで不要であれば、
npm installスクリプトを無効化すること。 - AIコーディングエージェントが提案するパッケージを含め、パッケージ名をインストール前に毎回検証すること。
- GitHub ActionsではタグではなくコミットSHAにピン留めすること。
pull_request_targetをコードチェックアウトと共に使用しないこと。
参考: Supabase Blog — 2026年5月26日 09:00 (JST)
原文ハイライト"Most malicious npm packages are caught and pulled within twenty-four to forty-eight hours"