2026年7月14日、AsyncAPI エコシステムの複数の npm パッケージに悪性コードが注入されました。一部は週間数百万ダウンロードされる、広く利用されているパッケージです。 注入された悪性コードは、ワーム型マルウェアです。require() や import された際、開発者のもつ認証情報を盗み出す他、他の npm/PyPI/crates.io に悪性パッケージを公開する自己拡散能力を持っています。 本記事は、弊社が Takumi Guard の解析基盤をベースに観測&分析した情報を踏まえ、日本のコミュニティに向けて、影響と対策を中心に整理するものです。 TL;DR - 対応指針 はじめに タイムライン 侵害の仕組み Stage 0 — 悪性パッケージの公開 Stage 1 — 難読化ダウンローダ(IPFS 経由) Stage 2 — 多層暗号化ペイロード Stage 3 — Mi

