Bogus npm Packages Used to Trick Software Developers into Installing Malware
2024/04/27 TheHackerNews — 現在進行中のソーシャル・エンジニアリング・キャンペーンは、ソフトウェア開発者の就活をターゲットにする偽の npm パッケージを提供し、Python バックドアをダウンロードさせるというものだ。サイバー・セキュリティ企業の Securonix は、このキャンペーンを DEV#POPPER という名前で追跡しており、北朝鮮の脅威アクターと結びつけている。
Continue reading “技術者の就活を狙う悪意の npm パッケージ:騙されてマルウェアをインストール”Okta warns of “unprecedented” credential stuffing attacks on customers
2024/04/27 BleepingComputer — Okta は、同社の ID/Access 管理ソリューションを標的とするクレデンシャル・スタッフィング攻撃が、前例がないほど急増しており、一部の顧客アカウントが侵害されたと警告している。クレデンシャル・スタッフィング攻撃とは、ダークウェブなどで購入したユーザー名/パスワードのリストを悪用するサイバー犯罪者が、標的とするユーザー・アカウントへの自動ログイン要求を行い、侵害を試みるというものだ。
Continue reading “Okta 警告:同社製品へのクレデンシャル・スタッフィング攻撃が激増している”Windows Kernel EoP Vulnerability (CVE-2024-21345) Gets PoC Exploit Code
2024/04/27 SecurityOnline — Windows Kernel の EoP (Elevation of Privilege) に存在する、脆弱性 CVE-2024-21345 に対する PoC (proof-of-concept) エクスプロイト・コードが、セキュリティ研究者の Gabe Kirkpatrick から公開された。このエクスプロイトにより、認証された攻撃者は、SYSTEM レベルまで権限を昇格させ、影響を受けるシステムを完全に制御できるようになる。
Continue reading “Windows Kernel EoP の 脆弱性 CVE-2024-21345:PoC が公開された”
IoT OT Security News 