2025年9月8日、Chalk、debug、ansi-stylesなど18個の人気npmパッケージにサプライチェーン攻撃の影響があったことが報告された。

• npm debug and chalk packages compromised - Aikido.dev

• Critical npm supply chain attack response - September 8, 2025

人気npm開発者がフィッシングの被害に遭ったことが原因で、合計20億回以上のダウンロード数を持つ18のnpmパッケージに挿入された悪意のあるコードが、署名時に暗号通貨トランザクションを乗っ取るように加工されているとのこと。サプライチェーン攻撃の影響があるnpmパッケージは以下の18個。

• backslash（週26万ダウンロード）
• chalk-template（週390万ダウンロード）
• supports-hyperlinks（週1,920万ダウンロード）
• has-ansi（週1,210万ダウンロード）
• simple-swizzle（週2,626万ダウンロード）
• color-string（週2,748万ダウンロード）
• error-ex（週4,717万ダウンロード）
• color-name（週1億9,171万ダウンロード）
• is-arrayish（週7,380万ダウンロード）
• slice-ansi（週5,980万ダウンロード）
• color-convert（週1億9,350万ダウンロード）
• wrap-ansi（週1億9,799万ダウンロード）
• ansi-regex（週2億4,364万ダウンロード）
• supports-color（週2億8,710万ダウンロード）
• strip-ansi (週2億6,117万ダウンロード)
• chalk (週2億9,999万ダウンロード)
• debug (週3億5,760万ダウンロード)
• ansi-styles (週3億7,141万ダウンロード)

Vercelでは、管理下のユーザープロジェクトで該当のパッケージが使われていた場合にはユーザー宛に注意喚起メールが送られ、当該プロジェクトの再ビルドや依存関係の確認を呼びかけている。

また感染したほとんどのnpmパッケージは削除され、ビルドキャッシュもパージされているが、当該の期間にnpmパッケージを更新したユーザは注意が必要とされている。