Software Supply Chains Threatened: Nexus Repository CVE-2024-4956 Flaw Exposed 2023/05/23 SecurityOnline — ソフトウェア・サプライチェーン管理ソリューションを提供する Sonatype が発表したのは、広く使用されているアーティファクト・リポジトリ・マネージャー Nexus Repository に存在する、深刻な脆弱性 CVE-2024-4956 に関するセキュリティ・アドバイザリである。この脆弱性は、パス・トラバーサル欠陥として分類され、機密性の高いシステム・ファイルに、認証を必要とせずにアクセスする攻撃者が、それらをダウンロードするという可能性が生じる。結果として、機密データを暴露され、ソフトウェア開発パイプライン・セキュリティの破棄へといたるものである。
CISA Outlines Efforts to Secure Open Source Software 2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
CVE-2024-33006: Critical SAP Vulnerability Exposes Systems to Complete Takeover 2024/05/14 SecurityOnline — ドイツの大手企業ソフトウェア SAP は、2024年5月の SAP Patch Day の一環として、14件の新たなセキュリティ・ノートと、すでにリリースされている3件のノートに対して、アップデートをリリースすることを発表した。最も重要なセキュリティ・ノートは、SAP NetWeaver Application Server ABAP および ABAP Platform に存在する、深刻な脆弱性 CVE-2024-33006 (CVSS:9.6) に対処するものだ。この脆弱性の悪用に成功した未認証の攻撃者は、悪意のファイルをサーバにアップロードすることが可能となり、それに被害者がアクセスする際に、システムを危険にさらす可能性が生じる。
GitHub comments abused to push malware via Microsoft repo URLs 2024/04/20 BleepingComputer — GitHub のバグ (あるいは設計上の仕様) を悪用する脅威アクターたちが、Microsoft のリポジトリに関連する URL を使って信頼できるファイルを装い、マルウェアを配布している。先日に発見されたマルウェアの多くは、Microsoft GitHub の URL を中心に活動していた。さらに、この “欠陥” の悪用は、GitHub 上のあらゆる公開リポジトリで応用できるため、きわめて説得力のあるルアーを、脅威アクターたちが作成するという可能性が生じている。
JFrog Artifactory Vulnerabilities: Patch Now to Protect Your Software Supply Chain 2023/03/07 SecurityOnline — 数多くの開発チームが重要とするツール JFrog Artifactory に、いくつかのセキュリティ脆弱性が存在することが、最近になって判明した。これらの欠陥の深刻度は様々であり、それぞれのソフトウェア開発パイプラインを危険にさらす可能性がある。このリスクを理解し、システムを保護するためには、迅速な行動が重要となる。
GitHub push protection now on by default for public repositories 2024/03/04 HelpNetSecurity — GitHub のプッシュ保護機能が、すべての公開リポジトリでデフォルトで有効になった。このセキュリティ機能は、API キーやトークンなどの機密情報が、誤ってオンラインに流出することの防止を目的としている。Microsoft の子会社である GitHub は、「この機能により、公開リポジトリへのプッシュでサポートされている機密情報が検出された場合に、その情報はコミットから削除される。あるいはオプション機能として、その機密情報が安全だと判断された場合には、ブロックを回避する」と述べている。
CISA and OpenSSF Release Framework for Package Repository Security 2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。
PoC Exploit Published for Visual Studio Code RCE Vulnerability (CVE-2023-36742) 2023/11/21 SecurityOnline — Visual Studio Code のリモート・コード実行の脆弱性 CVE-2023-36742 (CVSS:7.8) の、技術的詳細および PoC エクスプロイトが、セキュリティ研究者たちにより公表された。この、VS Code 1.82.0 以下に存在する脆弱性は、悪意を持って細工された package.json ファイルで作業する際に発生するものであり、ローカルでのコマンド実行につながるものだ。悪用のシナリオは、VS Code ユーザーに悪意のプロジェクトを開かせ、package.json ファイルの依存関係セクションにある、不正なエントリを操作させることで展開される。
Critical GitHub Vulnerability Exposes 4,000+ Repositories to Repojacking Attack 2023/09/12 TheHackerNews — GitHub に新たな脆弱性が発見され、何千ものリポジトリがレポジャッキング攻撃の危険にさらされている可能性があると判明した。Checkmarx のセキュリティ研究者である Elad Rapoport は、「GitHub のリポジトリ作成とユーザー名の変更操作における、競合状態を悪用できる。この脆弱性の悪用に成功した攻撃者は、Go/PHP/Swift などによる 4,000 以上のコード・パッケージや GitHub Actions を乗っ取ることが可能となり、このオープンソース・コミュニティに深刻な影響が生じる恐れがある。2023年3月1日の情報公開に続いて、2023年9月1日付けで GitHub は、この問題に対処した」と、The Hacker News と共有した技術レポートの中で述べている。
Fake Linux vulnerability exploit drops data-stealing malware 2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。
“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto 2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。
Researchers Uncover 7000 Malicious Open Source Packages 2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを3月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。
‘Blatantly Obvious’: Spyware Offered to Cyberattackers via PyPI Python Repository 2023/04/12 DarkReading — 研究者たちは、プログラミング言語 Python のパブリック・リポジトリである PyPI (Python Package Index) で、大胆な方法で情報スティラーを公開しているマルウェア販売者を発見した。このプログラムは、“reverse-shell” という安直な名前が付けられており、Sonatype の研究者たちは、スペインを拠点とする Malware-as-a-Service (MaaS) グループの SylexSquad と関連づけている。リバースシェルとは、ハッカーが遠隔操作でコマンドを実行する際や、標的となるコンピュータからデータを受信するときに用いるプログラムを指す。
GitHub’s Private RSA SSH Key Mistakenly Exposed in Public Repository 2023/03/25 DarkReading — 暗号化方式の RSA SSH ホスト鍵の機密部分が、未知の脅威アクターにより公開されたことで、GitHub は SSH キーを交換した。GitHub のオープン・リポジトリで、脅威アクターがシークレット・キーを公開したと思い込み、飛びつく人もいるかもしれないが、これはヒューマン・エラーによって発生したものだった。SSH キーには、パブリック・キーとシークレット・キーがあり、パブリック・キーは共有/公開できるが、シークレット・キーは秘密にしておくことが不可欠なのだ。誰が公開したのか、どこで公開されたのかという点について、GitHub は情報を公表していないが、管理者はブログで状況を説明している。
2023 2023/08/16:GitHub からのバグ報奨金:2022年には $1.5 Million が支払われた 2023/07/20:Lazarus が開発者を狙っている:悪意の GitHub プロジェクトに御用心 2023/07/13:Linux の偽 PoC エクスプロイトに御用心:GitHub を悪用してマルウェアを配布 2023/07/12:GitHub がパスワードレス認証を導入:Passkeys のベータ版が公開されている 2023/06/22:GitHub で懸念される RepoJacking 攻撃:変更された名称の悪用が容易だと判明 2023/06/14:GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用 2023/05/23:シークレットが氾濫する GitHub の世界:どのように緩和していくべきなのか 2023/05/10:GitHub のプッシュ・プロテクション:すべてのパブリック・リポジトリで無料化 2023/04/22:GitHub の新機能:プライベートな脆弱性レポートを安全に共有できるようになった 2023/04/18:RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した! 2023/04/06:GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする 2023/03/25:GitHub の RSA SSH シークレット・キー:パブリック・リポジトリに誤って公開される 2023/03/10:GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた 2023/03/01:GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック 2023/02/15:GitHub CoPilot への評価:AI モデルのトレーニングに開発者を利用して良いのか? 2023/01/30:GitHub から盗まれたコード署名証明書:Desktop/Atom 版が 2月2日に失効 /01/17:GitHub … Continue reading “GitHub”
2023 2023/08/31:北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施 2023/08/12:Python の URL 解析の脆弱性 CVE-2023-24329 が FIX:任意のコマンド実行にいたる恐れ 2023/08/04:VMware vConnector などを装う悪意の PyPI パッケージ:開発者をターゲットに展開 2023/07/04:NPM パッケージの Manifest Confusion :チェックのための Python ツールがリリース 2023/06/02:PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避 2023/05/31:Python ReportLab PDF Lib の深刻な脆弱性:悪意の HTML を読ませるだけでコード実行 2023/05/28:PyPI による 2FA 義務化のアナウンスメント:すべてのアカウントで年末までに対応 2023/05/20:PyPI の停止について:新規のユーザー登録とプロジェクト作成を一時的に止めます 2023/05/05:Python パッケージに新たなマルウェア Kekw:データ窃取と暗号ハイジャックを仕掛ける 2023/04/13:Google が発表した Assured OSS サービス:Java/Python エコシステムからサポートを開始 2023/04/12:PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は? 2023/03/23:Python … Continue reading “PyPI”
2023 2023/08/30:npm に悪意のパッケージ:特定のディレクトリからソースコードと機密情報を採取 2023/08/04:npm に新たな悪意のパッケージ:開発者たちをサプライチェーン攻撃に組み込む 2023/07/24:バンキング OSS サプライチェーン攻撃:銀行員を装う脅威アクターが悪意の npm パッケージを展開 2023/07/04:NPM パッケージの Manifest Confusion :チェックのための Python ツールがリリース 2023/06/28:NPM の根幹を揺るがす Manifest Confusion:パッケージ情報が信頼できない理由 2023/05/19:npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア 2023/04/05:npm への DoS 攻撃:レジストリが断続的にダウンするという最悪の事態に 2023/02/22:Npm に大量の悪意のパッケージ:分散型フィッシング・リンクを備えている 2023/02/10:NPM に悪意のパッケージ aabquerys:タイポスクワッティングでマルウェア配布 2023/02/01:NPM/PyPI に悪意のパッケージ:Python-drgn と bloxflip に要注意 2023/01/09:Auth0 が JsonWebToken の脆弱性を FIX:22,000 以上プロジェクトに影響か? 2022 2022/11/30:npm 悪意のライブラリ侵入経路が判明:プレ・リリース・バージョンに要注意 2022/09/22:Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは? 2022/07/27:GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加 2022/07/05:NPM サプライチェーン攻撃:IconBurst 混入のモジュールが … Continue reading “npm”
VSCode Marketplace can be abused to host malicious extensions 2023/01/06 BleepingComputer — 悪意の Visual Studio Code エクステンションを、VSCode Marketplace に驚くほど簡単にアップロードできることを、そして、この弱点を脅威アクターたちが、すでに悪用している兆候を、研究者たちは発見した。Visual Studio Code (VSC) とは、Microsoft が公開しているソースコード・エディタであり、世界中のプロフェッショナル・ソフトウェア開発者の約 70%が使用しているものだ。Microsoft は、VSCode Marketplace とという名の、IDE 用のエクステンション・マーケットを運営することで、アプリ機能の拡張や、多様なカスタマイズ・オプションをアドオンとして提供している。
Container Verification Bug Allows Malicious Images to Cloud Up Kubernetes 2022/12/24 DarkReading — Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者がに多数の不正コードを流し込める可能性があることが判明した。Kyverno Admission Controller は、署名/検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供している。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ/ルートキット/コンテナ・エスケープ/横移動エクスプロイト・キット/クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されている。
Hackers bombard PyPi platform with information-stealing malware 2022/12/20 BleepingComputer — Python パッケージ・リポジトリである PyPI に、情報窃取マルウェアを取り込んだ悪意のパッケージが相次いでドロップされ、ソフトウェア開発者のデータが盗み出されている。このキャンペーンでドロップされたマルウェアは、オープンソース W4SP Stealer のクローンであり、PyPI 上で 2022年11月に広まったマルウェア感染の原因となったものでもある。それ以来、W4SP をドロップする 31個のパッケージが、PyPI リポジトリから削除されてはいるが、このマルウェアの運営者は、マルウェアを再導入するための新たな方法を模索し続けているようだ。
Research reveals where 95% of open source vulnerabilities lie 2022/12/09 HelpNetSecurity — Endor Labs の最新レポートが示すのは、アプリケーション開発における既存オープンソース・ソフトウェアの多用と、未成熟な監視の体制と、一般的な慣行から生じる危険性についての見解である。一例を挙げると、全脆弱性の 95%は過渡的依存関係 (開発者は選択していないが、間接的にプロジェクトに取り込まれるオープンソースのコードパッケージ) にあることが、この調査により判明している。
Docker Hub repositories hide over 1,650 malicious containers 2022/11/24 BleepingComputer — Docker Hub で一般公開されている 1,600 以上のイメージに、暗号通貨マイナーやバックドアとして使用可能な、埋め込みシークレット/DNS ハイジャッカー/Web サイトリダイレクトなどの、悪質なビヘイビアが潜んでいることが判明した。Docker Hub は、Docker イメージの自由なサーチ/ダウンロードや、公開ライブラリ/個人用リポジトリへの成果物のアップロードを可能にする、クラウドベースのコンテナ・ライブラリだ。
Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware 2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。
GitHub Bug Exposed Repositories to Hijacking 2022/10/27 InfoSecurity — セキュリティ研究者が新たに発見した GitHub の欠陥は、攻撃に成功した攻撃者がリポジトリを制御し、関連するアプリやコードにマルウェアを拡散する可能があるものだ。現時点において GitHub は、”popular repository namespace retirement” 機能のバグを修正しているが、将来において同じツールが、脅威者の標的となる可能性があると Checkmarx は警告している。
Hackers Started Exploiting Critical “Text4Shell” Apache Commons Text Vulnerability 2022/10/21 TheHackerNews — 2022年10月18日に公開された Apache Commons Text の脆弱性だが、その悪用が検出され始めたと、WordPress のセキュリティ企業である Wordfenceが 10月20日に発表した。脆弱性 CVE-2022-42889 (CVSS:9.8) は、別名 Text4Shell として追跡され、この ライブラリのバージョン 1.5〜1.9 に影響を及ぼす。
Software Supply Chain Attacks Soar 742% in Three Years 2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。
New security concerns for the open-source software supply chain 2022/10/17 HelpNetSecurity — VMware によると、オープンソース・ソフトウェアは、あらゆる規模の企業におけるソフトウェア・サプライチェーンの重要な要素となっている。しかし、オープンソース・ソフトウェアのサプライチェーンには、新たなセキュリティ上の懸念が存在するため、パッケージング・セキュリティに対する進化したアプローチが求められている。
LofyGang Group Linked to Recent Software Supply Chain Attacks 2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。
Critical Packagist Vulnerability Opened Door for PHP Supply Chain Attack 2022/10/04 SecurityWeek — 10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表した。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるという。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所だ。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されている。
Auth0 warns that some source code repos may have been stolen 2022/09/28 BleepingComputer — 認証サービスプロバイダーであり、Okta の子会社でもある Auth0 は、同社のコード・リポジトリの一部に関わる、”Security Event” と呼ぶものを公表した。Auth0 の認証プラットフォームは、AMD/Siemens/Pfizer/Mazda/Subaru などを含む、30カ国 2000社以上の企業ユーザーにより、毎日 4200万回以上のログインの認証に使用されている。
Malicious NPM Package Caught Mimicking Material Tailwind CSS Package 2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。
350K Open-Source Projects At Risk of Supply Chain Vulnerability 2022/09/21 InfoSecurity — Trellix が設立を発表した Advanced Research Center は、最新のサイバー・セキュリティ脅威を検出/対応/修復するための、リアルタイムのインテリジェンスと脅威指標の作成を目的とするものだ。Trellix の最高製品責任者である Aparna Rayasam は、「脅威の状況は、洗練され、影響を与える可能性が拡大している。我々は、デジタルと物理的な世界で全ての人々を安全にするために、この事業に取り組んでいる。脅威アクターたちは、人材と技術的ノウハウに戦略的に投資している。したがって、サイバー・セキュリティ業界は、最も好戦的な行為者とその手法を研究し、より速い速度で革新していく義務がある」と述べている。
Open Source Repository Attacks Soar 700% in Three Years 2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。
TeamTNT Hits 150K Docker Containers via Malicious Cloud Images 2022/09/14 DarkReading — TeamTNT 脅威グループ・メンバーの明らかな不手際により、不適切なコンフィグレーションで運用されている Docker サーバを、悪用するために用いられていた戦術の一部が暴露された。先日に Trend Micro のセキュリティ研究者たちは、Docker REST API を公開するハニーポットを設置し、広く利用されているクラウド・コンテナ・プラットフォームの脆弱性やミスコンフィグレーションを、一般的な脅威者が悪用する方式を理解しようと試みた。
Over 1,800 Android and iOS Apps Found Leaking Hard-Coded AWS Credentials 2022/09/01 TheHackerNews — 研究者たちが提起した深刻なセキュリティ・リスクとは、Amazon Web Services (AWS) 認証情報などをハードコードしている、1,859 種類の Android/iOS アプリが特定されたというものだ。Broadcom Software 傘下 Symantec の Threat Hunter チームは、The Hacker News と共有したレポートの中で、「それらのアプリの 77% に、AWS プライベート・クラウド・サービスにアクセスできる、有効な AWS アクセス・トークンが含まれていた」と述べている。
One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious 2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。
Malicious PyPi packages turn Discord into password-stealing malware 2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。
A new PyPI Package was found delivering fileless Linux Malware 2022/08/15 SecurityAffairs — Sonatype の研究者たちは、Linux マシンシ・ステムのメモリへ向けて、ファイルレス・クリプトマイナーを投下する、secretslib という新しい PyPI パッケージを発見した。このパッケージは自らを、”secrets matching and verification made easy” と表現しており、2020年8月6日以降で、合計 93件のダウンロードを記録している。
10 Credential Stealing Python Libraries Found on PyPI Repository 2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。
China-Backed APT Pwns Building-Automation Systems with ProxyLogon 2022/06/29 DarkReading — これまで未知とされてきた中国語圏の高度持続的脅威 (APT) アクターが、Microsoft Exchange の脆弱性 ProxyLogon を悪用してマルウェア ShadowPad を展開している。その最終目標は、ビルオートメーション・システム (BAS:Building Automation System) を乗っ取り、ネットワークに深く侵入することだと、研究者たちは述べている。
Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild 2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。
NPM Bug Allowed Attackers to Distribute Malware as Legitimate Packages 2022/04/26 TheHackerNews — Node.js JavaScript 実行環境における、デフォルト・パッケージ・マネージャである NPM の「論理的欠陥」により、悪意の行為者が不正ライブラリを正規のものとして見せかけ、騙された開発者にインストールさせることが可能であることが判明した。このサプライチェーンの脅威は、クラウド・セキュリティ企業である Aqua の研究者たちにより、Package Planting と名付けられている。2月10日に Aqua から開示され、4月26日には NPM により、問題の根本が修正された。
GitHub suspends accounts of Russian devs at sanctioned companies 2022/04/15 BleepingComputer — ロシアのソフトウェア開発者が、米国の制裁下にある企業で働いている場合、あるいは、過去に働いていた場合に、警告なしに GitHub のアカウントが停止されるという報告がある。ロシアのメディアによると、この禁止の波は 4月13日に始まり、企業や個人を区別することなく押し寄せている。たとえば、Sberbank Technology/Sberbank AI Lab/Alfa Bank Laboratory などの GitHubアカウントは、当初コード・リポジトリが無効化され、現在はプラットフォームから削除されている。
15-Year-Old Bug in PEAR PHP Repository Could’ve Enabled Supply Chain Attacks 2022/04/01 TheHackerNews — PEAR PHP リポジトリにおいて、15年前のセキュリティ脆弱性が公開され、攻撃者が不正なアクセス権を取得し、不正なパッケージの公開や、任意のコード実行可能にするなどの、サプライチェーン攻撃にいたることが判明した。SonarSource の脆弱性研究者である Thomas Chauchefoin は、「1つ目のバグの悪用に成功した攻撃者は、あらゆる開発者のアカウントを乗っ取り、悪意のリリースを公開することができる。2つ目のバグに関しては、攻撃者がセンタライズされた PEAR サーバーへの持続的なアクセスを獲得できるようになる」と、今週に発表された記事で述べている。
A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages 2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。
25 Malicious JavaScript Libraries Distributed via Official NPM Package Repository 2022/02/22 TheHackerNews — 悪意を持った 25種類の JavaScript ライブラリが、公式の NPM パッケージ・レジストリに新たに登録され。感染したシステムから Discord トークンや環境変数を盗みだそうとしている。DevOps セキュリティ企業である JFrog は、「問題のライブラリは typosquatting 技術を活用し、colors.js/crypto-js/discord.js/marked/noblox.js といった正規パッケージを装っているが、これらのパッケージは “ビギナー・マルウェア作者の作品” だ」と指摘している。
Log4Shell-like Critical RCE Flaw Discovered in H2 Database Console 2022/01/07 TheHackerNews — H2 データベース・コンソールで発見されたリモートコード実行の脆弱性だが、先月に明らかになった Log4Shell と同じ構造を持つ欠陥であることが、研究者たちにより公表された。JFrog の研究者である Andrey Polkovenko と Shachar Menashe は、「Log4j 以外のコンポーネントで発表された、Log4Shell に似た初めての深刻な問題であり、Log4Shell と同じ根本的な原因であう、JNDI リモートクラス・ローディングを悪用するものだ」と述べている。
Mozilla Thunderbird 91.3 released to fix high impact flaws 2021/11/05 BleepingComputer — Mozilla は Thunderbird 91.3 をリリースし、サービス拒否/発信元の偽装/セキュリティ・ポリシー迂回/任意のコード実行などの、複数の深刻な脆弱性を修正した。新たに発見された脆弱性の大半は、特別に細工された Web サイトを閲覧することで発動するため、比較的容易に悪用することが可能となる。
Researchers Call for ‘CVE’ Approach for Cloud Vulnerabilities 2021/08/07 DarkReading — Black Hat USA 2021 – Las Vegas – これまでの1年間において、クラウド・サービスのセキュリティ上の欠陥や弱点を、徹底的に調査してきた2人の研究者が、Amazon Web Services (AWS) アカウント間の隔離が破られるという、新たな問題を明らかにした。クラウド・セキュリティ企業である Wiz.io の Ami Luttwak と Shir Tamari によると、このようなアカウントをまたぐクラウド・サービスの脆弱性は、AWS 以外にも広く存在する可能性があるという。今回の調査では、クラウド・サービスの利用者にとって、自分が利用しているクラウドのインスタンスが、他の利用者のインスタンスから、必ずしも隔離されているわけではないという、厳しい現実が示唆された。
New TsuNAME Flaw Could Let Attackers Take Down Authoritative DNS Servers 2021/05/07 TheHackerNews — この新顔でクリティカルな脆弱性を悪用すると、Domain Name System (DNS) リゾルバに対して reflection-based DoS 攻撃を行うことが可能となる。この TsuNAME と呼ばれる新たな脆弱性は、オランダとニュージーランドの国別ドメイン .nl と .nz を管理している、SIDN Labs と InternetNZ の研究者たちにより発見されている。
IoT OT Security News 