Repository – Page 2 – IoT OT Security News

PyPI に新たな悪意のパッケージ：Instagram／TikTok などをユーザー・アカウントを盗み出す？

Malicious PyPI Packages Exploit Instagram and TikTok APIs to Validate User Accounts

2025/05/20 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。これらのパッケージは、盗み出したメール・アドレスを、TikTok／Instagram の APIで検証するための、チェッカー・ツールとして機能する。問題となっている３つのパッケージは、現時点の PyPI では提供されていない。それらの Python パッケージ名は、以下の通りである。

Google Calendar を C2 サーバに変える：NPM に仕掛けられた高ステルス性のマルウェアとは？

Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication

2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。

npm で新たなリポジトリ汚染：人気パッケージ “rand-user-agent” が標的にされた

Supply chain attack hits npm package with 45,000 weekly downloads

2025/05/08 BleepingComputer — npm パッケージ “rand-user-agent” がサプライチェーン攻撃を受け、難読化されたコードを注入されたことが判明した。このコードは、ユーザーのシステム上で RAT(Remote Access Trojan) を起動させるよう設計されている。“rand-user-agent” パッケージは、ランダムなユーザー・エージェント文字列を生成するツールであり、Web スクレイピング／自動テスト／セキュリティ研究などに役立つものだ。このパッケージは、現在では非推奨となっているが、週平均で 45,000 件ものダウンロード数を誇っている。

フェイク Discord パッケージと RAT：PyPI から 11,500+ のダウンロード

Researchers Uncover Malware in Fake Discord PyPI Package Downloaded 11,500+ Times

2025/05/07 TheHackerNews — Python Package Index (PyPI) リポジトリ上で、無害な Discord 関連ユーティリティを装いながら、リモートアクセス型トロイの木馬 (RAT) を取り込んでいる悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。この問題のパッケージは “discordpydebug” であり、2022年3月21日に PyPI にアップロードされている。すでに、このパッケージは 11,574回もダウンロードされており、PyPI レジストリ上で引き続き提供されている。興味深いことに、このパッケージは、それ以降において更新されていない。

PyPI に７つの悪意のパッケージ：Gmail SMTP への信用を悪用する新たな手口

Seven Malicious Packages Exploit Gmail SMTP to Run Harmful Commands

2025/05/02 gbhackers — Python Package Index (PyPI) に公開された７つのパッケージに、相互に関連する悪意が潜んでいることが、Socket 脅威調査チームの研究者たちにより発見された。それは、Python オープンソース・コミュニティを揺るがす、大規模なサプライチェーン・セキュリティ・インシデントを示すものだ。

GitLab の XSS の脆弱性 CVE-2025-1763／2443 などが FIX：XSS によるアカウント乗っ取りの恐れ

GitLab Releases Security Update to Patch XSS and Account Takeover Flaws

2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)／Enterprise Edition (EE) のバージョン 17.11.1／17.10.5／17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。

npm に潜む悪意のパッケージを発見：Telegram Bot API を装い SSH バックドアを展開

Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems

2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ３つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。

PyPI から 39,000+ DL の悪意の Python パッケージ：クレカの有効性を自動的に検証

Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data

2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。

GitHub Action での連鎖的攻撃：SpotBugs の PAT 漏洩トリガー説を掘り下げる

SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack

2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。

npm パッケージに仕込まれた情報窃取型マルウェア：暗号通貨関連の機密情報を流出？

Infostealer campaign compromises 10 npm packages, targets devs

2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。

GitLab の複数の脆弱性 CVE-2025-2255／0811 などが FIX：XSS や権限昇格の恐れ

GitLab Alert: Patch Now! XSS & Privilege Escalation Risks

2025/03/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、セルフマネージド GitLab Community Edition (CE) および Enterprise Edition (EE) の全ユーザー対して、最新バージョンである 17.10.1／17.9.3／17.8.6 へと、速やかにアップグレードするよう促している。このアップデートは、クロスサイト・スクリプティング (XSS) の欠陥や権限昇格の問題などの、一連の脆弱性に対処するものである。

GitHub Actions の脆弱性 CVE-2025-30154／CVE-2025-30066：サプライチェーン攻撃の可能性を考える

Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed

2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。

GitHub Actions の侵害：最初のターゲットとして狙われたのは Coinbase

Coinbase was primary target of recent GitHub Actions breaches

2025/03/21 BleepingComputer — 最近の GitHub Actions への連鎖型のサプライ・チェーン攻撃により、数百のリポジトリのシークレットが侵害されているが、その主要なターゲットは Coinbase であると、研究者たちが断定している。Palo Alto Unit 42 と Wiz の最新レポートによると、この綿密に計画された攻撃は、悪意のコードが reviewdog/action-setup@v1 GitHub Action に挿入されたときから始まっているという。この侵害の発生の方法は不明であるが、脅威アクターはアクションを変更して、CI/CD シークレットと認証トークンを、GitHub Actions ログにダンプした。

GitHub リポジトリ 12,000 件が標的：偽のセキュリティ通知を悪用するフィッシング攻撃

Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts

2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告：異常なアクセス試行：ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。

GitHub Action の脆弱性 CVE-2025-30066：侵害によるシークレット漏洩と是正の手順

2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されているソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。

GitLab の深刻な脆弱性 CVE-2025-25291／25292 などが FIX：SAML 認証バイパスの恐れ

GitLab Urgently Patches Critical Authentication Bypass Flaws – CVE-2025-25291 & CVE-2025-25292

2025/03/12 SecurityOnline — GitLab が発表したのは、Community Edition (CE)／Enterprise Edition (EE) に存在するセキュリティ脆弱性を修正するための、新しいバージョン 17.9.2／17.8.5／17.7.7 のリリースである。このリリースは、深刻な認証バイパス脆弱性などの、さまざまなセキュリティ問題に対処するものだ。

npm リポジトリ汚染：Lazarus にリンクする６つの悪意のパッケージを発見

North Korean Lazarus hackers infect hundreds via npm packages

2025/03/11 BleepingComputer — npm (node package manager) で発見された６つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取／侵害済みシステムへのバックドア展開／機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。

悪意の OSS パッケージを分析：1,000件以上に共通する特徴／戦術／手口とは？ – Fortinet

Over 1000 Malicious Packages Found Exploiting Open-Source Platforms

2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。

Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX：PoC も提供

2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。

LLM トレーニングに用いられるデータセットの問題：約 12,000 個の API キーの発見

12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training

2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。

GitLab の深刻な脆弱性 CVE-2025-0475／0555 などが FIX：XSS の恐れ

CVE-2025-0475 & CVE-2025-0555: GitLab’s High-Risk Patch Now

2025/02/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、すべてのセルフ・マネージド GitLab インストールを、バージョン 17.9.1／17.8.4／17.7. 6へと、直ちにアップグレードするよう求めている。この緊急対応の要請は、機密性の高いユーザー・データを漏洩する可能性のある、深刻度の高いクロス・サイト・スクリプティング (XSS) などの、複数の脆弱性の発見を受けてのものとなる。

PRevent という OSS SecTool：GitHub プルリクエストで悪意のコードをスキャン

PRevent: Open-source tool to detect malicious code in pull requests

2025/02/20 HelpNetSecurity — ユーザー組織におけるソフトウェア開発ライフサイクルの一環として、悪意のコードの検出に有益となる OSS ツールが、Apiiro のセキュリティ研究者たちによりリリースされた。それらは、プルリクエストに対するスキャナーである PRevent と、悪意のコードを検出するルールセットSemgrep、静的コード用の分析ツール Opengrep で構成されている。

GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX：その他の６件の欠陥にも対応

GitLab Patches High-Severity XSS Flaw (CVE-2025-0376) and Other Security Flaws in Latest Release

2025/02/12 SecurityOnline — GitLab が発行したセキュリティ・アドバイザリは、深刻度の高いクロス・サイト・スクリプティング (XSS) などの脆弱性に対処するものであり、ユーザーに対して速やかな更新を促すものである。GitLab Community Edition (CE)／Enterprise Edition (EE) のバージョン 17.8.2／17.7.4／17.6.5 を対象とする、今回のアップデートに取り込まれたのは、合計で９件のセキュリティ問題に対する修正である。

DeepSeek の人気に便乗：PyPI で公開されたインフォ・スティーラーとは？

2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、２つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、２つのパッケージを公開したときから始まっていた。

PyPI が導入した Project Archival：開発が止まったプロジェクトを固定して悪用を防止

PyPI adds project archiving system to stop malicious updates

2025/02/02 BleepingComputer — Python Package Index (PyPI) は、“Project Archival” の導入を発表した。それは、プロジェクトをアーカイブしたパブリッシャーが、更新を期待しないでほしいという旨のメッセージを、ユーザーに対して示す、新しいシステムである。

go-git の脆弱性 CVE-2025-21613／21614 が FIX：不正アクセス／DoS の可能性

Secure Your Repos: go-git Patches Critical Vulnerability – CVE-2025-21613 (CVSS 9.8)

2025/01/07 SecurityOnline — Git インタラクションに用いられる、Go ライブラリ go-git がリリースしたのは、２つの深刻な脆弱性を修正したバージョン 5.13.1 である。これらの脆弱性が悪用されると、不正アクセスや DoS にいたる可能性がある。開発者に対して強く推奨されるのは、依存関係を直ちに更新することだ。

Ethereum 開発環境 Hardhat を装う悪意の npmパッケージ：秘密鍵などが標的に

Malicious npm packages target Ethereum developers’ private keys

2025/01/03 BleepingComputer — Ethereum の開発者が使用する、Hardhat を装う 20件の悪意のパッケージが、秘密鍵などの機密データを標的にしている。研究者たちによると、これらの悪意のパッケージは、合計で 1,000回以上ダウンロードされているという。

Gogs の脆弱性 CVE-2024-39930 などが FIX：不正アクセス／機密データ窃取の可能性

Critical Vulnerabilities Found in Gogs Self-Hosted Git Service: Urgent Update Required

2024/12/24 SecurityOnline — 人気の OSS のセルフホスト型 Git サービスである Gogs に、複数の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行／不正アクセス／機密データの窃取などの可能性を手にする。

PyPI の悪意のパッケージ：キーストロークを盗みソーシャル・アカウントをハイジャック

Researchers Uncover PyPI Packages Stealing Keystrokes and Hijacking Social Accounts

2024/12/24 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた２つの悪意のパッケージが、侵害したホストから機密情報を盗み出していると、Fortinet FortiGuard Labs がフラグ付けしていることが発表された。

NPM リポジトリ汚染：タイポスワッティングで正規のパッケージを偽装

Thousands Download Malicious npm Libraries Impersonating Legitimate Tools

2024/12/19 TheHackerNews — npm レジストリへのアップロードが確認された悪意のパッケージは、正規のパッケージである ”typescript-eslint” や ”@types/node” などを装うものである。それらの偽のパッケージは ”@typescript_eslinter/eslint”／”types-node” と名付けられ、それぞれがトロイの木馬をダウンロードするものとして、また、２段階目のペイロードを取得するものとして設計されている。

GitHub の偽 PoC リポジトリ：研究者たちの機密データと大量の WordPress 資格証明を窃取

390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits

2024/12/13 TheHackerNews — WordPress ツールとして宣伝され、現在は削除されている悪意の GitHub リポジトリにより、39万件以上の認証情報が流出したと推定されている。この狡猾なアクティビティは、MUT-1244 と名付けられた脅威アクターが展開する、広範な攻撃キャンペーンの一部であり、フィッシング情報や PoC コードをホストする、トロイの木馬化された複数の GitHub リポジトリで構成されるものだ。

GitLab CE/EE の脆弱性 CVE-2024-11274 (CVSS 8.7) などが FIX：不正アクセス／DoS の可能性

CVE-2024-11274: GitLab Vulnerability Exposes User Accounts

2024/12/11 SecurityOnline — GitLab が公表したのは、Community Edition (CE)／Enterprise Edition (EE) 17.6.2／17.5.4／17.4.6 に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アップデートである。このアップデートで対処される欠陥が悪用されると、アカウント乗っ取り／サービス拒否攻撃／情報漏洩などの、深刻な結果につながる恐れがある。

OSS リポジトリを汚染するマルウェア：2024 は前年比で 200% の増大

Open source malware up 200% since 2023

2024/12/11 HelpNetSecurity — Sonatype の 2024 Open Source Malware Threat Report によると、2019 年に追跡が開始された悪意のパッケージの数が 778,500 件を超えている。そして 2024年になり、カスタム AI モデルを構築する企業が、オープンソース・ツールを採用するケースが増えるにつれて、悪意のオープンソース・パッケージを用いる脅威アクターたちが、開発者を標的にするケースが増えている。この記事で概説するのは、こうしたトレンドについて調査した結果である。

ソフトウェア・サプライチェーンが世界を飲み込む：いまなら Marc Andreessen はそう言うだろう

Lessons From the Largest Software Supply Chain Incidents

2024/12/11 DarkReading — 2011年の Marc Andreessen の言葉を覚えているだろうか。それは、「ソフトウェアが世界を飲み込んでいる」というフレーズであり、13年以上が経ったいまも、真実味を深め続けている。産業界はソフトウェアにより変革され、世界経済の活性化においてもソフトウェアは不可欠だ。つまり、世界はソフトウェアで動いている。いまの企業に求められるのは、ビジネス環境における苛烈な競争に生き残ることであり、そのために、かつてないスピードで大量のソフトウェアが生み出されている。

PyPI における Ultralytics AI の悪用：ビルド環境の侵害と XMRig マルウェアの展開

Ultralytics AI Library with 60M Downloads Compromised for Cryptomining

2024/12/09 HackRead — PyPI (Python Package Index) で人気を博す、Ultralytics AI ライブラリに悪意のコードを注入して、暗号通貨のマイニングを行うという攻撃が、ReversingLabs のサイバーセキュリティ研究者たちにより発見された。

GitLab CE/EE の脆弱性 CVE-2024-8114 (CVSS 8.2) などが FIX：特権昇格／DoS の可能性

CVE-2024-8114: GitLab Vulnerability Allows Privilege Escalation

2024/11/26 SecurityOnline — GitLab が公表したのは、Community Edition (CE)／Enterprise Edition (EE) 17.6.1／17.5.3／17.4.5 に影響を及ぼす、６つの脆弱性に対処するセキュリティ・アップデートである。一連の脆弱性の影響を受けるバージョンを使用しているユーザーに対して、同社が推奨するのは、すべてのインストールを最新バージョンへと、可能な限り早急にアップグレードすることである。

PyPI の “aiocpa” は悪意のライブラリ：Telegram Bot で Crypto Keys を盗み出す手口とは？

PyPI Python Library “aiocpa” Found Exfiltrating Crypto Keys via Telegram Bot

2024/11/25 TheHackerNews — Python Package Index (PyPI) リポジトリの管理者が隔離したのは、Telegram 経由で秘密鍵を盗み出すための悪意のコードを埋め込んだ、“aiocpa” パッケージのアップデート版である。この問題のパッケージは、Crypto Pay API の同期／非同期クライアントとして説明されている。2024年9月にリリースされた “aiocpa” パッケージは、現在までに 12,100 回もダウンロードされている。今回の Python ライブラリの隔離により、クライアントにおけるインストールが防止され、メンテナーによる変更もできなくなった。

Kubernetes の脆弱性 CVE-2024-10220 が FIX：任意のコマンド実行が可能に

CVE-2024-10220: Kubernetes Vulnerability Allows Arbitrary Command Execution

2024/11/20 SecurityOnline — Kubernetes に存在する、深刻な脆弱性 CVE-2024-10220 (CVSS：8.1) が明らかにされた。この脆弱性は、特定バージョンの kubelet を実行している、Kubernetes クラスタに影響を与えるものであり、悪用に成功した攻撃者は、コンテナの境界外での任意のコマンド実行の可能性を得る。

Sonatype Nexus Repository 2 の脆弱性 CVE-2024-5082／5083 が FIX：RCE／XSS に至る恐れ

Sonatype Nexus Repository 2 Hit By RCE (CVE-2024-5082) and XSS (CVE-2024-5083) Flaws

2024/11/17 SecurityOnline — Sonatype が発行したセキュリティ勧告は、ソフトウェア・アーティファクトの保存／配布用リポジトリ・マネージャー Nexus Repository Manager 2.x 存在する、２件の脆弱性に関するものだ。これらの脆弱性 CVE-2024-5082／CVE-2024-5083 の悪用に成功した攻撃者は、悪意のコードを実行し、システムを侵害する可能性を得る。したがって、Sonatype はユーザーに対して、早急な対応を求めている。

GitLab CE/EE の脆弱性 CVE-2024-9693 (CVSS 8.5) などが FIX：XSS／DoS 攻撃の可能性

CVE-2024-9693: GitLab Issues Critical Patch for Kubernetes Agent

2024.11/13 SecurityOnline — GitLab がリリースしたセキュリティ・アップデートは、Kubernetes クラスタへの不正アクセスを許す可能性のある、深刻な脆弱性に対処するものだ。Community Edition (CE)／Enterprise Edition (EE) のバージョン 17.5.2／17.4.4／17.3.7 では、Kubernetes の深刻な脆弱性 CVE-2024-9693 を含む、６件のセキュリティ脆弱性が修正されている。

新たな犯罪グループ EMERALDWHALE：Git コンフィグ・ファイルからクラウド認証情報を窃取

EMERALDWHALE Operation Exposes Over 15,000 Cloud Credentials in Widespread Git Exploit

2024/10/31 SecurityOnline — 世界規模の犯罪組織 EMERALDWHALE が、Git の無防備なコンフィグ・ファイルを悪用し、15,000件以上のクラウド認証情報を盗み出していることが、Sysdig の Threat Research Team (TRT) により発見された。Sysdig TRT のレポートでは、認証情報を漏洩させる大量のミスコンフィグが存在するという、憂慮すべき Web サーバの状況が指摘されている。それらのミスコンフィグは、何千ものプライベート・リポジトリに影響を与え、１つのアカウントが侵害されるごとに、数多くの被害者に損失を与える可能性があるものだ。

悪意の Python 暗号通貨取引パッケージ：PyPI と GitHub で 1,300 回以上もダウンロード

Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code

2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。

GitLab CE/EE の脆弱性 CVE-2024-8312／6826 が FIX：XSS／DoS 攻撃の可能性

GitLab Security Alert: CVE-2024-8312 and CVE-2024-6826 Patched

2024/10/23 SecurityOnline — GitLab が公表したのは、Community Edition (CE)／Enterprise Edition (EE) の複数バージョンに影響を及ぼす、２つの脆弱性 CVE-2024-8312／CVE-2024-6826 に対処するセキュリティ・アップデートのリリースである。ユーザーに対して強く推奨されるのは、迅速なアップデートである。これらの脆弱性が悪用されると、XSS 攻撃や DoS 攻撃につながる恐れがある。

GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX：直ちにパッチ適用を！

GitHub Enterprise Server Patches Critical Security Flaw – CVE-2024-9487 (CVSS 9.5)

2024/10/13 SecurityOnline — GitHub が公表したのは、GitHub Enterprise Server に存在する２件の脆弱性に対処するためのセキュリティ・アップデートのリリースである。そのうちの１つは、このプラットフォームの SAML SSO 認証メカニズムに存在する、認証バイパスの脆弱性 CVE-2024-9487 (CVSS：9.5) であり、攻撃者に不正アクセスを許す可能性が生じている。

オープンソースと悪意のパッケージ：前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査

Sonatype Reports 156% Increase in OSS Malicious Packages

2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。

GitLab CE/EE の脆弱性 CVE-2024-9164 などが FIX：直ちにアップデートを！

CVE-2024-9164 (CVSS 9.6): GitLab Users Urged to Update Now

2024/10/09 SecurityOnline — 10月9日に GitLab がリリースした、 Community Edition(CE)／Enterprise Edition(EE) のバージョン 17.4.2／17.3.5／17.2.9 は、いくつかのセキュリティ・アップデートを取り込んだものである。これらのアップデートは、８件の脆弱性に対処するものだが、その中には、深刻度 Critical と評価される、脆弱性 CVE-2024-9164 も含まれている。この脆弱性の悪用に成功した攻撃者は、任意のブランチでパイプラインを実行する可能性を得るため、影響を受けるインスタンスに重大なセキュリティ・リスクが生じる。

Grafana Plugin SDK の脆弱性 CVE-2024-8986 が FIX：機密情報の漏えいに至る恐れ

CVE-2024-8986 (CVSS 9.1): Critical Grafana Plugin SDK Flaw Exposes Sensitive Information

2024/09/22 SecurityOnline — Grafana Plugin SDK for Go に、重大なセキュリティ脆弱性 CVE-2024-8986 (CVSS：9.1) が発見された。この脆弱性に悪用により、リポジトリ認証情報などの機密情報の漏洩につながる可能性が生じている。Grafana Plugin SDK は、Go プログラミング言語を使用するバックエンド・プラグインの、容易な開発を目的として設計されている。しかし、Grafana Labs のアドバイザリによると、それらのプラグインでは、コンパイル済みバイナリにビルド・メタデータがバンドルされているという。このメタデータには、git remote get-url origin コマンドを実行することで取得される、プラグインで使用されるリポジトリ URI が含まれる。

GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX：直ちにアップデートを！

GitLab releases fix for critical SAML authentication bypass flaw

2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML／Ruby-SAML ライブラリの問題に起因する。

GCP Composer の RCE 脆弱性が FIX：依存関係を撹乱させる CloudImposer とは？

Google Fixes GCP Composer Flaw That Could’ve Led to Remote Code Execution

2024/09/16 TheHackerNews — Google Cloud Platform (GCP) Composer に発見された深刻なセキュリティ脆弱性は、サプライチェーン攻撃の手法である “Dependency Confusion” (依存関係かく乱) により、クラウド・サーバ上でのリモート・コード実行を攻撃者に許すものだ。この脆弱性には、 CloudImposer というコードネームが、Tenable Research により付けられている。Tenable のセキュリティ研究者である Liv Matan は、「この脆弱性の悪用に成功した攻撃者は、Google Cloud Composer の各パイプライン・オーケストレーション・ツールにあらかじめインストールされている、内部ソフトウェアの依存関係を乗っ取りが可能になると推測される」と説明している。

GitLab CE/EE の脆弱性 CVE-2024-6678 などが FIX：直ちにアップデートを！

Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution

2024/09/11 TheHackerNews — 9月11日に GitLab がリリースしたのは、17件のセキュリティ脆弱性に対処するためのセキュリティ・アップデートである。その中には、任意のユーザーである攻撃者が、パイプライン・ジョブを実行できる、深刻な脆弱性 CVE-2024-6678 (CVSS：9.9) も含まれている。