注目github_advisory2026年6月5日1分

@cap-js/openapi 1.4.1 にサプライチェーン攻撃、認証情報漏洩の恐れ

要約

2026年5月19日、npm パッケージ @cap-js/openapi の 1.4.1 が改ざんされた悪意あるバージョンとして公開された。この版をインストールした環境では、npm トークン・クラウド認証情報・SSH キー・GitHub PAT など全認証情報が漏洩した可能性がある。対策として 1.4.2 以上へのアップグレードが必要で、1.4.1 をインストールした場合は全認証情報の即時ローテーションが求められる。

あなたへの影響

@cap-js/openapi を利用しているチームは 1.4.1 のインストール履歴を直ちに確認し、該当する場合は全認証情報をローテーションのうえ 1.4.2 へ更新すること。

推奨：CI/CD 環境やクラウド認証情報への影響範囲が広いため、次スプリントを待たず即日対応を推奨する。

詳細を読む → 元記事へ

X で共有

※ 本文は元記事をご確認ください (asayomu は要約のみ提供)