npm v12 が install スクリプトをデフォルト無効化 — サプライチェーン攻防が前進
GitHub が npm v12 で preinstall/install/postinstall などのライフサイクルスクリプトをデフォルトで実行しない破壊的変更を予告した。これは近年のワーム型サプライチェーン攻撃(Shai-Hulud 系・Miasma)が利用していた『依存を入れた瞬間にコードが走る』第一の侵入面を無効化するもの。同時期に、乗っ取られた開発者アカウント経由で npm・PyPI・GitHub Actions・AI コーディングエージェントの設定までを標的にする攻撃ツールキットが OSS 公開されたとの報告もあり、防御と攻撃が同時に高度化している。
キーポイント
- npm v12 はインストール時のライフサイクルスクリプトを既定で実行しなくなる(破壊的変更)
- Shai-Hulud / Miasma などワームが利用した最大の自動コード実行面を封鎖する防御策
- 自前パッケージが postinstall に依存している場合は本番反映前に挙動確認が必要
- 一方で npm・PyPI・GitHub Actions・AI エージェント設定まで狙う攻撃ツールキットの OSS 公開も報告され、AI 開発環境自体が標的化
- 一次情報は github.blog の changelog(2026-06-09)