Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack
2025/09/11 CyberSecurityNews — 8月下旬に表面化した高度な npm サプライチェーン攻撃は、人気の JavaScript ライブラリに悪意のペイロードを挿入し、数千の下流プロジェクトを標的としたものである。当初の報告では、タイポスクワッティング手法の新たな亜種が指摘されていたが、その後の分析で、侵害されたメンテナの認証情報を用いて、バックドア付きモジュールを正規パッケージ名で公開するという、より精巧な攻撃であることが明らかになった。
Continue reading “npm エコシステムを狙ったサプライチェーン攻撃:収益は $200 未満だったが狙いは別のところに?”Hackers Hijack 18 Popular npm Packages Downloaded Over 2 Billion Times Weekly
2025/09/09 gbhackers — 毎週 20億回以上もダウンロードされている、きわめて人気の高い npm パッケージ 18個をハッカーが乗っ取り、暗号通貨のユーザーと開発者を標的とする高度なマルウェアを注入しているという。Aikido のレポートによると、9月8日の早朝にセキュリティ・フィードが警告したのは、chalk/debug/chalk-template/supports-color などの人気パッケージ 18個が迅速に更新され、悪意のコードにより汚染されたことだ。
Continue reading “人気の npm パッケージ 18種類にマルウェア侵害:それらの総ダウンロード数は 20億回/週”2025/09/01 gbhackers — 広く使用されている Nodemailer メール・ライブラリを装い、Windows システム上のデスクトップ仮想通貨ウォレットを秘密裏に乗っ取っていく、悪意の npm パッケージによる高度な仮想通貨窃盗スキームが発覚した。週平均で約 390 万ダウンロードを誇る、正規の Nodemailer ライブラリを装う、悪意のパッケージ “nodejs-smtp” を、Socket の脅威調査チームが特定したのだ。
Continue reading “悪意の “nodejs-smtp” パッケージ:Nodemailer メール・ライブラリを装い仮想通貨ウォレットを侵害”Okta Security Releases Auth0 Event Logs for Proactive Threat Detection
2025/08/21 CyberSecurityNews — Okta が発表したのは、Auth0 顧客のために設計され、プロアクティブな脅威検知を強化する、OSS リポジトリ Auth0 Customer Detection Catalog の提供開始である。このリリースは、ID/Access 管理セキュリティにおける大きな進展を示すものであり、それを利用するセキュリティ・チームは、高度な検知ルールを活用することで、認証インフラ全体で新たな脅威を特定して対応できるようになる。
Continue reading “Okta が Auth0 Customer Detection Catalog の提供を開始:Sigma フォーマットによるプロアクティブな脅威検知”CodeRabbit’s Production Servers RCE Vulnerability Enables Write Access on 1M Repositories
2025/08/20 CyberSecurityNews — CodeRabbit の本番環境インフラで確認された、深刻なリモート・コード実行 (RCE) 脆弱性により、100万以上のコード・リポジトリへの不正アクセスが、プライベート・リポジトリを含むかたちで可能になっていた。このプラットフォームの静的解析ツール統合を悪用する攻撃者は、機密 API 認証情報を窃取し、GitHub App 秘密鍵を掌握することで、リポジトリへの書込権限の取得が可能な状況にあった。この脆弱性は、2024年12月に発見され、2025年1月に責任あるかたちで開示された。
Continue reading “CodeRabbit 本番環境サーバにおける RCE 脆弱性:100 万件以上のリポジトリに影響が生じた可能性”Crypto Developers Attacked With Malicious npm Packages to Steal Login Details
2025/08/19 CyberSecurityNews — 機密性の高い認証情報やウォレット情報の窃取を目的とし、暗号資産の開発者を標的に悪意の npm パッケージを展開する、新たな脅威キャンペーンが確認された。そこで用いられる手法は、従来と比べて洗練されたものであり、開発者コミュニティに深刻なリスクをもたらしている。この攻撃は、正規のSDK (software development kits) やスキャン・ツールを装い、特に Solana 暗号資産エコシステムを標的にするため、研究者たちは Solana-Scan と名付けている。
Continue reading “npm パッケージの悪用と攻撃:Solana 暗号資産の開発者から機密情報を窃取するキャンペーンを検出”Hackers Use AI to Create Malicious NPM Package that Drains Your Crypto Wallet
2025/08/04 CyberSecurityNews — 人工知能 (AI) を悪用するサイバー犯罪者たちは、正規の開発ツールを装う NPM パッケージを作成/展開することで、暗号資産ウォレットから密かに資金を吸い上げるという、巧妙な攻撃を仕掛けている。“@kodane/patch-manager” という名のパッケージは、ライセンス検証およびレジストリ最適化機能を提供する “NPM Registry Cache Manager” を装っているが、実際には Solana ブロックチェーン資産を標的とする、高度な暗号資産ウォレット・ドレイナー (資金窃取ツール) を内包している。
Continue reading “NPM 上の悪意のパッケージを解析:AI によるコード生成を示す証拠が発見された”npm ‘is’ Package With 2.8M Weekly Downloads Weaponized to Attack Developers
2025/07/29 CyberSecurityNews — npm を標的とするフィッシング攻撃の波は、280 万回/週のペースでプルされるユーティリティ “is” の乗っ取りにより、深刻度を増している。2025年7月19日に攻撃者は、盗み出したメンテナーの認証情報を用いて、悪意の “is” バージョン 3.3.1/5.0.0 をレジストリに登録した。それにより、通常の依存関係解決を通じて、バックドアがシームレスに拡散されていった。
Continue reading “npm の “is” パッケージ侵害:280 万回/週のペースで DL されるユーティリティが武器化された”Hackers Breach Toptal GitHub, Publish 10 Malicious npm Packages With 5,000 Downloads
2025/07/28 TheHackerNews — Toptal の GitHub 組織アカウントに侵入した正体不明の脅威アクターが、そのアクセス権を悪用して 10個の悪意のパッケージを npm レジストリに公開するという、ソフトウェア・サプライチェーン攻撃の最新事例が紹介されている。先週に Socket が公開したレポートによると、これらのパッケージに隠された悪意のコードにより、GitHub の認証トークン窃取や、被害者システムの破壊などが引き起こされるという。それに加えて、この組織に関連する73個のリポジトリが公開されている。
Continue reading “Toptal の GitHub が侵害された:悪意の npm パッケージが 5,000 回もダウンロード”Amazon AI coding agent hacked to inject data wiping commands
2025/07/25 BleepingComputer — Visual Studio Code 用の GenAI アシスタントである Amazon Q Developer Extension に、あるハッカーがデータ・ワイパー・コードを埋め込んだという。この Amazon Q の GenAI アシスタントを用いる開発者たちは、無料のエクステンションに支援され、コーディング/デバッグ/ドキュメント作成/カスタム・コンフィグ設定などを可能にしている。Microsoft の Visual Studio Code (VSC) マーケットプレイスで入手が可能な Amazon Q の人気は高く、インストール数は 100 万件近くに達している。
Continue reading “Amazon Q の脆弱性 CVE-N/A が FIX:リポジトリの侵害と謎めいたマルウェアの展開”Google Launches OSS Rebuild to Strengthen Security of The Open-Source Package Ecosystems
2025/07/24 CyberSecurityNews — 現代のソフトウェア・サプライチェーンは、無数のサードパーティ・コンポーネントに依存しているため、それらのパッケージ・リポジトリは攻撃者にとって格好の標的となっている。この1年の間に発生した、xz-utils バックドアや solana/webjs タイポスクワッティングなどの、注目を集めるセキュリティ侵害が示したのは、防御側が認知する前に、広く利用されているライブラリを巧妙なコードで汚染するという、可能性があることだった。
Continue reading “Google の OSS Rebuild がスタート:リポジトリ汚染を一掃する試みへの期待とは?”Threat Actors Hijack Popular npm Packages to Steal The Project Maintainers’ npm Tokens
2025/07/22 CyberSecurityNews — 広く使用される eslint-config-prettier や eslint-plugin-prettier などの、複数の npm パッケージが高度なサプライチェーン攻撃により侵害された。この攻撃の原因は、標的型フィッシング攻撃による、メンテナーの認証トークンの窃取にある。この攻撃で用いられたドメイン npnjs.com は、正規の npmjs.org サイトを模倣するものであり、精巧に設計されたフィッシング・メールを通じて、開発者の認証情報を収集するタイポスクワッティング攻撃が仕掛けられた。
PoC Released for High-Severity Git CLI Vulnerability Allowing Arbitrary File Writes
2025/07/15 gbhackers — Git の CLI (command-line interface) に存在する、深刻な脆弱性 CVE-2025-48384 が報告され、PoC エクスプロイトも公開されている。この脆弱性の悪用に成功した攻撃者は、Linux/macOS システムにおいて、任意のファイル書き込みやリモート・コード実行 (RCE) を可能にするという。この脆弱性は .gitmodules ファイル内に含まれる改行文字の不適切な処理に起因し、セキュリティ制御のバイパスを許すものである。悪意のリポジトリに対して、git clone –recursive コマンドを実行することで、この脆弱性はトリガーされる。
Continue reading “Git CLI の脆弱性 CVE-2025-48384:悪意の Hook/Config の恐れと PoC の公開”Splunk SOAR Addresses Vulnerabilities in Third-Party Packages – Update Now
2025/07/09 gbhackers — Splunk が 2025年7月12日に公開したセキュリティ・アドバイザリによると、同社の SOAR (Security Orchestration, Automation and Response) に脆弱性が発見されたとのことだ。 このプラットフォームに取り込まれる十数種の OSS コンポーネントに、脆弱なバージョンのパッケージが含まれることが判明しており、その中には、すでにエクスプロイトが公開されている欠陥もあるという。
Continue reading “Splunk SOAR サードパーティの脆弱性が FIX:問題のある OSS パッケージをアップデート”North Korean Hackers as Recruiters Attacking Developers With 35 New Malicious npm Packages
2025/06/25 CyberSecurityNews — 高度なサプライチェーン攻撃キャンペーンを、北朝鮮の脅威アクターが開始した。侵害済みの 24のアカウントに、悪意の npm パッケージ 35個を埋め込み、巧妙なフェイク・リクルートを介して、ソフトウェア開発者を標的としている。このキャンペーンは、OSS エコシステムを標的とする、国家支援のサイバースパイ活動の著しいエスカレーションを示しており、いまも続いている、伝染面接 (Contagious Interview) 作戦の延長とみられている。
Continue reading “npm リポジトリを舞台とする新たなキャンペーン:リクルーターを装い開発者に悪意のコードを実行させる”Insecure GitHub Actions in Open Source Projects MITRE and Splunk Exposes Critical Vulnerabilities
2025/06/18 CyberSecurityNews — GitHub に対する包括的なセキュリティ調査により、主要な OSS リポジトリ全体にわたる GitHub Actions ワークフローにおいて、広範な脆弱性の存在が明らかになったが、その中には MITRE や Splunk といった組織が管理するリポジトリも含まれる。今回の発見が浮き彫りにするのは、これらのプロジェクトを潜在的なサプライチェーン攻撃や機密情報への不正アクセスにさらす、安全が確保されない CI/CD (Continuous Integration and Continuous Delivery) コンフィグレーションの懸念すべきパターンである。
Continue reading “GitHub Actions に潜む問題:MITRE/Splunk リポジトリへの侵害を研究者たちが実証”Developers Beware! 16 React Native Packages With Million of Download Compromised Overnight
2025/06/09 CyberSecurityNews — 一週間のダウンロード数が合計で 100万回以上に達するという、人気の React Nativeパッケージ 16件が、巧妙なサプライチェーン攻撃により侵害され、NPM エコシステムに対する脅威が深刻化している。この、2025年6月6日に開始された攻撃では、React Native Aria エコシステムと GlueStack フレームワーク内のパッケージに体系的なバックドアが仕掛けられ、持続的なシステム制御とデータ窃取機能を確立する、高度なリモートアクセス型トロイの木馬 (RAT) が展開された。
Continue reading “React Native Package 16種類に RAT:一晩で仕込まれた組織的な悪意とは?”New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally
2025/06/08 TheHackerNews — GlueStack 関連の 12以上のパッケージを標的とする、マルウェア拡散を目的としたサプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。Aikido Security は、「”lib/commonjs/index.js” への変更時に侵入した、このマルウェアを操作する攻撃者は、シェル・コマンドの実行/スクリーン・ショットの撮影/感染マシンへのファイル・アップロードが可能にする。これらのパッケージのダウンロード数は、合計で毎週約 100万回に達している」と、The Hacker News に述べている。
Continue reading “npm/PyPI エコシステムが標的:新たなサプライチェーン・マルウェア攻撃の詳細が判明”Backdoored Open Source Malware Repositories Target Novice Cybercriminals
2025/06/05 SecurityWeek — デベロッパー/エンタープライズ/エンドユーザーを標的とし、情報窃取型のマルウェアやバックドアを展開するサプライチェーン攻撃が、今年だけでも数十件に達していることが明らかになった。その多くは、悪意の NPM パッケージを介して行われている。そして、6月4日 (水) に Sophos が明らかにしたのは、GitHub リポジトリを悪用することで、ゲームチーターや経験の浅い脅威アクターを標的とし、同様のバックドアを仕込むという攻撃行動である。
Continue reading “GitHub を悪用する新たなサプライチェーン攻撃:ゲームチーターや経験の浅い脅威アクターが標的”Dozens of malicious packages on NPM collect host and network data
2025/05/23 BleepingComputer — NPM インデックスで発見されたのは、機密性の高いホスト/ネットワークのデータを収集し、脅威アクターが制御する Discord Web フックへと送信する、60 件の悪意のパッケージである。Socket の脅威調査チームによると、これらのパッケージは、5月12日以降において、3つのパブリッシャー・アカウントから NPM リポジトリにアップロードされたものだという。
Continue reading “NPM 上の悪意のパッケージがネットワーク情報を収集:60 件のマルウェア・パッケージを発見”Malicious PyPI Packages Exploit Instagram and TikTok APIs to Validate User Accounts
2025/05/20 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。これらのパッケージは、盗み出したメール・アドレスを、TikTok/Instagram の APIで検証するための、チェッカー・ツールとして機能する。問題となっている3つのパッケージは、現時点の PyPI では提供されていない。それらの Python パッケージ名は、以下の通りである。
Continue reading “PyPI に新たな悪意のパッケージ:Instagram/TikTok などをユーザー・アカウントを盗み出す?”Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication
2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。
Continue reading “Google Calendar を C2 サーバに変える:NPM に仕掛けられた高ステルス性のマルウェアとは?”Supply chain attack hits npm package with 45,000 weekly downloads
2025/05/08 BleepingComputer — npm パッケージ “rand-user-agent” がサプライチェーン攻撃を受け、難読化されたコードを注入されたことが判明した。このコードは、ユーザーのシステム上で RAT(Remote Access Trojan) を起動させるよう設計されている。“rand-user-agent” パッケージは、ランダムなユーザー・エージェント文字列を生成するツールであり、Web スクレイピング/自動テスト/セキュリティ研究などに役立つものだ。このパッケージは、現在では非推奨となっているが、週平均で 45,000 件ものダウンロード数を誇っている。
Continue reading “npm で新たなリポジトリ汚染:人気パッケージ “rand-user-agent” が標的にされた”Researchers Uncover Malware in Fake Discord PyPI Package Downloaded 11,500+ Times
2025/05/07 TheHackerNews — Python Package Index (PyPI) リポジトリ上で、無害な Discord 関連ユーティリティを装いながら、リモートアクセス型トロイの木馬 (RAT) を取り込んでいる悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。この問題のパッケージは “discordpydebug” であり、2022年3月21日に PyPI にアップロードされている。すでに、このパッケージは 11,574回もダウンロードされており、PyPI レジストリ上で引き続き提供されている。興味深いことに、このパッケージは、それ以降において更新されていない。
Continue reading “フェイク Discord パッケージと RAT:PyPI から 11,500+ のダウンロード”Seven Malicious Packages Exploit Gmail SMTP to Run Harmful Commands
2025/05/02 gbhackers — Python Package Index (PyPI) に公開された7つのパッケージに、相互に関連する悪意が潜んでいることが、Socket 脅威調査チームの研究者たちにより発見された。それは、Python オープンソース・コミュニティを揺るがす、大規模なサプライチェーン・セキュリティ・インシデントを示すものだ。
Continue reading “PyPI に7つの悪意のパッケージ:Gmail SMTP への信用を悪用する新たな手口”GitLab Releases Security Update to Patch XSS and Account Takeover Flaws
2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.11.1/17.10.5/17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。
Continue reading “GitLab の XSS の脆弱性 CVE-2025-1763/2443 などが FIX:XSS によるアカウント乗っ取りの恐れ”Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems
2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ3つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。
Continue reading “npm に潜む悪意のパッケージを発見:Telegram Bot API を装い SSH バックドアを展開”Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data
2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証”SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack
2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。
Continue reading “GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる”Infostealer campaign compromises 10 npm packages, targets devs
2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。
Continue reading “npm パッケージに仕込まれた情報窃取型マルウェア:暗号通貨関連の機密情報を流出?”GitLab Alert: Patch Now! XSS & Privilege Escalation Risks
2025/03/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、セルフマネージド GitLab Community Edition (CE) および Enterprise Edition (EE) の全ユーザー対して、最新バージョンである 17.10.1/17.9.3/17.8.6 へと、速やかにアップグレードするよう促している。このアップデートは、クロスサイト・スクリプティング (XSS) の欠陥や権限昇格の問題などの、一連の脆弱性に対処するものである。
Continue reading “GitLab の複数の脆弱性 CVE-2025-2255/0811 などが FIX:XSS や権限昇格の恐れ”Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed
2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。
Continue reading “GitHub Actions の脆弱性 CVE-2025-30154/CVE-2025-30066:サプライチェーン攻撃の可能性を考える”Coinbase was primary target of recent GitHub Actions breaches
2025/03/21 BleepingComputer — 最近の GitHub Actions への連鎖型のサプライ・チェーン攻撃により、数百のリポジトリのシークレットが侵害されているが、その主要なターゲットは Coinbase であると、研究者たちが断定している。Palo Alto Unit 42 と Wiz の最新レポートによると、この綿密に計画された攻撃は、悪意のコードが reviewdog/action-setup@v1 GitHub Action に挿入されたときから始まっているという。この侵害の発生の方法は不明であるが、脅威アクターはアクションを変更して、CI/CD シークレットと認証トークンを、GitHub Actions ログにダンプした。
Continue reading “GitHub Actions の侵害:最初のターゲットとして狙われたのは Coinbase”Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts
2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告:異常なアクセス試行:ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。
Continue reading “GitHub リポジトリ 12,000 件が標的:偽のセキュリティ通知を悪用するフィッシング攻撃”Popular GitHub Action “tj-actions/changed-files” Compromised (CVE-2025-30066)
2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されている ソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。
Continue reading “GitHub Action の脆弱性 CVE-2025-30066:侵害によるシークレット漏洩と是正の手順”GitLab Urgently Patches Critical Authentication Bypass Flaws – CVE-2025-25291 & CVE-2025-25292
2025/03/12 SecurityOnline — GitLab が発表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在するセキュリティ脆弱性を修正するための、新しいバージョン 17.9.2/17.8.5/17.7.7 のリリースである。このリリースは、深刻な認証バイパス脆弱性などの、さまざまなセキュリティ問題に対処するものだ。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ”North Korean Lazarus hackers infect hundreds via npm packages
2025/03/11 BleepingComputer — npm (node package manager) で発見された6つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取/侵害済みシステムへのバックドア展開/機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。
Continue reading “npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見”Over 1000 Malicious Packages Found Exploiting Open-Source Platforms
2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。
Continue reading “悪意の OSS パッケージを分析:1,000件以上に共通する特徴/戦術/手口とは? – Fortinet”Popular Python Logging Library Vulnerable to Remote Code Execution (CVE-2025-27607)
2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。
Continue reading “Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX:PoC も提供”12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training
2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。
Continue reading “LLM トレーニングに用いられるデータセットの問題:約 12,000 個の API キーの発見”CVE-2025-0475 & CVE-2025-0555: GitLab’s High-Risk Patch Now
2025/02/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、すべてのセルフ・マネージド GitLab インストールを、バージョン 17.9.1/17.8.4/17.7. 6へと、直ちにアップグレードするよう求めている。この緊急対応の要請は、機密性の高いユーザー・データを漏洩する可能性のある、深刻度の高いクロス・サイト・スクリプティング (XSS) などの、複数の脆弱性の発見を受けてのものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-0475/0555 などが FIX:XSS の恐れ”PRevent: Open-source tool to detect malicious code in pull requests
2025/02/20 HelpNetSecurity — ユーザー組織におけるソフトウェア開発ライフサイクルの一環として、悪意のコードの検出に有益となる OSS ツールが、Apiiro のセキュリティ研究者たちによりリリースされた。それらは、プルリクエストに対するスキャナーである PRevent と、悪意のコードを検出するルールセットSemgrep、静的コード用の分析ツール Opengrep で構成されている。
Continue reading “PRevent という OSS SecTool:GitHub プルリクエストで悪意のコードをスキャン”GitLab Patches High-Severity XSS Flaw (CVE-2025-0376) and Other Security Flaws in Latest Release
2025/02/12 SecurityOnline — GitLab が発行したセキュリティ・アドバイザリは、深刻度の高いクロス・サイト・スクリプティング (XSS) などの脆弱性に対処するものであり、ユーザーに対して速やかな更新を促すものである。GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.8.2/17.7.4/17.6.5 を対象とする、今回のアップデートに取り込まれたのは、合計で9件のセキュリティ問題に対する修正である。
Continue reading “GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX:その他の6件の欠陥にも対応”DeepSeek’s popularity exploited to push malicious packages via PyPI
2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、2つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、2つのパッケージを公開したときから始まっていた。
Continue reading “DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?”PyPI adds project archiving system to stop malicious updates
2025/02/02 BleepingComputer — Python Package Index (PyPI) は、“Project Archival” の導入を発表した。それは、プロジェクトをアーカイブしたパブリッシャーが、更新を期待しないでほしいという旨のメッセージを、ユーザーに対して示す、新しいシステムである。
Continue reading “PyPI が導入した Project Archival:開発が止まったプロジェクトを固定して悪用を防止”Secure Your Repos: go-git Patches Critical Vulnerability – CVE-2025-21613 (CVSS 9.8)
2025/01/07 SecurityOnline — Git インタラクションに用いられる、Go ライブラリ go-git がリリースしたのは、2つの深刻な脆弱性を修正したバージョン 5.13.1 である。これらの脆弱性が悪用されると、不正アクセスや DoS にいたる可能性がある。開発者に対して強く推奨されるのは、依存関係を直ちに更新することだ。
Continue reading “go-git の脆弱性 CVE-2025-21613/21614 が FIX:不正アクセス/DoS の可能性”Malicious npm packages target Ethereum developers’ private keys
2025/01/03 BleepingComputer — Ethereum の開発者が使用する、Hardhat を装う 20件の悪意のパッケージが、秘密鍵などの機密データを標的にしている。研究者たちによると、これらの悪意のパッケージは、合計で 1,000回以上ダウンロードされているという。
Continue reading “Ethereum 開発環境 Hardhat を装う悪意の npmパッケージ:秘密鍵などが標的に”Critical Vulnerabilities Found in Gogs Self-Hosted Git Service: Urgent Update Required
2024/12/24 SecurityOnline — 人気の OSS のセルフホスト型 Git サービスである Gogs に、複数の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行/不正アクセス/機密データの窃取などの可能性を手にする。
Continue reading “Gogs の脆弱性 CVE-2024-39930 などが FIX:不正アクセス/機密データ窃取の可能性”Researchers Uncover PyPI Packages Stealing Keystrokes and Hijacking Social Accounts
2024/12/24 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた2つの悪意のパッケージが、侵害したホストから機密情報を盗み出していると、Fortinet FortiGuard Labs がフラグ付けしていることが発表された。
Thousands Download Malicious npm Libraries Impersonating Legitimate Tools
2024/12/19 TheHackerNews — npm レジストリへのアップロードが確認された悪意のパッケージは、正規のパッケージである ”typescript-eslint” や ”@types/node” などを装うものである。それらの偽のパッケージは ”@typescript_eslinter/eslint”/”types-node” と名付けられ、それぞれがトロイの木馬をダウンロードするものとして、また、2段階目のペイロードを取得するものとして設計されている。
Continue reading “NPM リポジトリ汚染:タイポスワッティングで正規のパッケージを偽装”
IoT OT Security News 
You must be logged in to post a comment.