Sonatype Nexus Repository 2 Hit By RCE (CVE-2024-5082) and XSS (CVE-2024-5083) Flaws
2024/11/17 SecurityOnline — Sonatype が発行したセキュリティ勧告は、ソフトウェア・アーティファクトの保存/配布用リポジトリ・マネージャー Nexus Repository Manager 2.x 存在する、2件の脆弱性に関するものだ。これらの脆弱性 CVE-2024-5082/CVE-2024-5083 の悪用に成功した攻撃者は、悪意のコードを実行し、システムを侵害する可能性を得る。したがって、Sonatype はユーザーに対して、早急な対応を求めている。
Continue reading “Sonatype Nexus Repository 2 の脆弱性 CVE-2024-5082/5083 が FIX:RCE/XSS に至る恐れ”CVE-2024-9693: GitLab Issues Critical Patch for Kubernetes Agent
2024.11/13 SecurityOnline — GitLab がリリースしたセキュリティ・アップデートは、Kubernetes クラスタへの不正アクセスを許す可能性のある、深刻な脆弱性に対処するものだ。Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.5.2/17.4.4/17.3.7 では、Kubernetes の深刻な脆弱性 CVE-2024-9693 を含む、6件のセキュリティ脆弱性が修正されている。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-9693 (CVSS 8.5) などが FIX:XSS/DoS 攻撃の可能性”EMERALDWHALE Operation Exposes Over 15,000 Cloud Credentials in Widespread Git Exploit
2024/10/31 SecurityOnline — 世界規模の犯罪組織 EMERALDWHALE が、Git の無防備なコンフィグ・ファイルを悪用し、15,000件以上のクラウド認証情報を盗み出していることが、Sysdig の Threat Research Team (TRT) により発見された。Sysdig TRT のレポートでは、認証情報を漏洩させる大量のミスコンフィグが存在するという、憂慮すべき Web サーバの状況が指摘されている。それらのミスコンフィグは、何千ものプライベート・リポジトリに影響を与え、1つのアカウントが侵害されるごとに、数多くの被害者に損失を与える可能性があるものだ。
Continue reading “新たな犯罪グループ EMERALDWHALE:Git コンフィグ・ファイルからクラウド認証情報を窃取”Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code
2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。
GitLab Security Alert: CVE-2024-8312 and CVE-2024-6826 Patched
2024/10/23 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) の複数バージョンに影響を及ぼす、2つの脆弱性 CVE-2024-8312/CVE-2024-6826 に対処するセキュリティ・アップデートのリリースである。ユーザーに対して強く推奨されるのは、迅速なアップデートである。これらの脆弱性が悪用されると、XSS 攻撃や DoS 攻撃につながる恐れがある。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-8312/6826 が FIX:XSS/DoS 攻撃の可能性”GitHub Enterprise Server Patches Critical Security Flaw – CVE-2024-9487 (CVSS 9.5)
2024/10/13 SecurityOnline — GitHub が公表したのは、GitHub Enterprise Server に存在する2件の脆弱性に対処するためのセキュリティ・アップデートのリリースである。そのうちの1つは、このプラットフォームの SAML SSO 認証メカニズムに存在する、認証バイパスの脆弱性 CVE-2024-9487 (CVSS:9.5) であり、 攻撃者に不正アクセスを許す可能性が生じている。
Continue reading “GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX:直ちにパッチ適用を!”Sonatype Reports 156% Increase in OSS Malicious Packages
2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。
Continue reading “オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査”CVE-2024-9164 (CVSS 9.6): GitLab Users Urged to Update Now
2024/10/09 SecurityOnline — 10月9日に GitLab がリリースした、 Community Edition(CE)/Enterprise Edition(EE) のバージョン 17.4.2/17.3.5/17.2.9 は、いくつかのセキュリティ・アップデートを取り込んだものである。これらのアップデートは、8件の脆弱性に対処するものだが、その中には、深刻度 Critical と評価される、脆弱性 CVE-2024-9164 も含まれている。この脆弱性の悪用に成功した攻撃者は、任意のブランチでパイプラインを実行する可能性を得るため、影響を受けるインスタンスに重大なセキュリティ・リスクが生じる。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-9164 などが FIX:直ちにアップデートを!”CVE-2024-8986 (CVSS 9.1): Critical Grafana Plugin SDK Flaw Exposes Sensitive Information
2024/09/22 SecurityOnline — Grafana Plugin SDK for Go に、重大なセキュリティ脆弱性 CVE-2024-8986 (CVSS:9.1) が発見された。この脆弱性に悪用により、リポジトリ認証情報などの機密情報の漏洩につながる可能性が生じている。Grafana Plugin SDK は、Go プログラミング言語を使用するバックエンド・プラグインの、容易な開発を目的として設計されている。しかし、Grafana Labs のアドバイザリによると、それらのプラグインでは、コンパイル済みバイナリにビルド・メタデータがバンドルされているという。このメタデータには、git remote get-url origin コマンドを実行することで取得される、プラグインで使用されるリポジトリ URI が含まれる。
GitLab releases fix for critical SAML authentication bypass flaw
2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML/Ruby-SAML ライブラリの問題に起因する。
Continue reading “GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX:直ちにアップデートを!”Google Fixes GCP Composer Flaw That Could’ve Led to Remote Code Execution
2024/09/16 TheHackerNews — Google Cloud Platform (GCP) Composer に発見された深刻なセキュリティ脆弱性は、サプライチェーン攻撃の手法である “Dependency Confusion” (依存関係かく乱) により、クラウド・サーバ上でのリモート・コード実行を攻撃者に許すものだ。この脆弱性には、 CloudImposer というコードネームが、Tenable Research により付けられている。Tenable のセキュリティ研究者である Liv Matan は、「この脆弱性の悪用に成功した攻撃者は、Google Cloud Composer の各パイプライン・オーケストレーション・ツールにあらかじめインストールされている、内部ソフトウェアの依存関係を乗っ取りが可能になると推測される」と説明している。
Continue reading “GCP Composer の RCE 脆弱性が FIX:依存関係を撹乱させる CloudImposer とは?”Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution
2024/09/11 TheHackerNews — 9月11日に GitLab がリリースしたのは 、17件のセキュリティ脆弱性に対処するためのセキュリティ・アップデートである。その中には、任意のユーザーである攻撃者が、パイプライン・ジョブを実行できる、深刻な脆弱性 CVE-2024-6678 (CVSS:9.9) も含まれている。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-6678 などが FIX:直ちにアップデートを!”Researchers Find Over 22,000 Removed PyPI Packages at Risk of Revival Hijack
2024/09/04 TheHackerNews — Python Package Index (PyPI) レジストリを標的とする、新たなサプライチェーン攻撃手法が、下流組織への侵入手段として悪用されていると、ソフトウェア・サプライチェーン・セキュリティ企業 JFrog が指摘している。この Revival Hijack と命名された攻撃手法により、既存の PyPI パッケージ 2万2000個に乗っ取りの可能性が生じ、さらに、数十万の悪意のパッケージのダウンロードへといたる恐れがあるとしている。なお、それらの脆弱なパッケージとは、ダウンロード数が10万回を超えているものであり、また、6か月以上にわたってアクティブになっているものである。
Continue reading “PyPI の Revival Hijack 攻撃:パッケージ再登録のギャップを狙う脅威が判明”North Korean Hackers Launch New Wave of npm Package Attacks
2024/08/29 InfoSecurity — 北朝鮮に関連する脅威グループが関与する悪意のアクティビティが、最近になって急増していることがサイバー・セキュリティ研究者によって特定された。それにより明らかになったのは、npm エコシステムを標的とする組織的なキャンペーンの存在である。この、2024年8月12日に始まったキャンペーンは、開発者たちの環境に侵入して、機密データを盗むように設計された悪意の npm パッケージを公開するものである。
Continue reading “npm へ攻撃:難読化された悪意のパッケージを展開する北朝鮮の脅威グループ”CVE-2024-6800 (CVSS 9.5): Critical GitHub Enterprise Server Flaw Patched, Admin Access at Risk
2024/08/20 SecurityOnline — 先日に GitHub が公表したのは、GitHub Enterprise Server (GHES) に存在する、複数のセキュリティ脆弱性に関するアドバイザリである。それらの脆弱性 CVE-2024-6800/CVE-2024-6337/CVE-2024-7711 については、最新のセキュリティ・パッチにおいて、すでに対処されている。
Continue reading “GitHub Enterprise Server の脆弱性 CVE-2024-6800 (CVSS 9.5) などが FIX:直ちにパッチ適用を!”GitHub Attack Vector Cracks Open Google, Microsoft, AWS Projects
2024/08/14 DarkReading — Google/Microsoft/Amazon Web Services などが所有する、GitHub オープンソース・プロジェクトに影響を与える攻撃ベクターが、Palo Alto Networks の Unit 42 により発見された。Unit 42 の主任研究者である Yaron Avital は、グローバル企業が所有する知名度の高いオープンソース・プロジェクトに対しても、この攻撃は有効であると言う。それらのプロジェクトが侵害されると、何百万もの消費者に影響を及ぶ可能性があると、 8月13日に発表されたブログで、彼は述べている。
Continue reading “GitHub の新たな攻撃ベクター:Google/Microsoft/AWS などのプロジェクトをクラック – Unit 42 調査”CVE-2024-6915 (CVSS 9.3): JFrog Artifactory Flaw Exposes Software Supply Chains to Cache Poisoning
2024/08/05 SecurityOnline — ソフトウェア・アーティファクト管理ソリューションを提供する JFrog が発表したのは、同社の Artifactory プラットフォームに存在する深刻な脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-6915 (CVSS 9.3) は、JFrog Artifactory の複数バージョンに影響を及ぼし、攻撃に成功した攻撃者に対して、アーティファクト・キャッシュの汚染を許してしまう。その結果として、それらのリポジトリからデプロイされたソフトウェアの完全性が損なわれる可能性が生じる。
Continue reading “JFrog Artifactory の脆弱性 CVE-2024-6915 (CVSS 9.3) が FIX:キャッシュ・ポイズニングの恐れ”Targeted PyPi Package Steals Google Cloud Credentials from macOS Devs
2024/07/27 DarkReading — macOS ユーザーの一部から Google Cloud Platform の認証情報を盗み出す、かなり奇妙な悪意の Python コードのパッケージを、研究者たちが発見した。Checkmarx の 7月26日のブログによると、このパッケージ “lr-utils-lib” は、6月初旬の時点で Python Package Index (PyPI) にアップロードされたものだが、セットアップ・ファイルに悪意のコードを隠し持っていた。 そのコードは、macOS システム上で実行されていることをチェックし、続いて、システムの IOPlatformUUID をチェックする。この値は、特定の Mac コンピュータを識別するために使用されるものである。
Continue reading “lr-utils-lib という悪意の PyPI パッケージ:macOS 開発者から Google Cloud の認証情報を窃取”Over 3,000 GitHub accounts used by malware distribution service
2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine/Lumma Stealer/Rhadamanthys/RisePro/Atlantida Stealer などのインフォ・スティーラーである。
Continue reading “GitHub 上の 3,000以上の偽アカウントで構成される DaaS:マルウェア配布で成功している”Security Flaw CVE-2024-6345 in Setuptools Exposes Python Projects to RCE
2024/07/15 SecurityOnline — Python プロジェクトのパッケージ化/配布/インストールにおいて、広範に使用されるライブラリ Setuptools に、深刻な脆弱性が発見された。この脆弱性 CVE-2024-6345 (CVSS:8.8) は、”package_index” モジュールに存在するものであり、システム上で RCE を引き起こす恐れがある。
Continue reading “Python Setuptools ライブラリの脆弱性 CVE-2024-6345 が FIX:PoC も公開される”GitLab: Critical bug lets attackers run pipelines as other users
2024/07/10 BleepingComputer — 7月10日に GitLab CE/EE のパッチがリリースされ、6つの脆弱性が修正された。GitLab DevSecOps プラットフォームは、3,000万人以上の登録ユーザーを誇り、T-Mobile/Goldman Sachs/Airbus/Lockheed Martin/Nvidia/UBS などの Fortune 100 の 50%以上で利用されている。修正された脆弱性のうち、最も深刻度が高いものは、攻撃者がユーザーとしてパイプライン・ジョブを実行できる、脆弱性 CVE-2024-6385 (CVSS:9.6) である。
Continue reading “GitLab CE/EE の脆弱性 CVE-2024-6385 などが FIX:直ちにアップデートを!”CVE-2024-1724: Snap Sandbox Escape Vulnerability Threatens Linux Systems
2024/07/01 SecurityOnline — Ubuntu などの Linux ディストリビューションで人気のパッケージ・マネージャーである Snap に存在する深刻な脆弱性が、セキュリティ研究者 McPhail のセキュリティ情報公開で特定された。この脆弱性 CVE-2024-1724 の悪用に成功した攻撃者は、Snap のサンド・ボックス環境を回避しながら、ユーザーのシステム上で任意のコード実行が可能にするという。
Continue reading “Ubuntu Snap の Sandbox Escape の脆弱性 CVE-2024-1724 が FIX:Linux システムを脅かす恐れ”GitLab Releases Critical Updates to Address Multiple Vulnerabilities
2024/06/26 SecurityOnline — DevOps ライフサイクル・ツールの主要プラットフォームである GitLab は、Community Edition (CE)/Enterprise Edition (EE) 向けのクリティカル・アップデートをリリースした。新バージョンの 17.1.1/17.0.3/16.11.5 には、重要なセキュリティとバグの修正が含まれている。GitLab は全てのユーザーに対して、潜在的な悪用からインストールを保護するため、直ちにアップグレードするよう呼びかけている。
Continue reading “GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX”Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack
2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。
Continue reading “WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた”CVE-2024-37051: Critical JetBrains Flaw Exposes GitHub Tokens in IntelliJ IDEs, PoC Published
2024/06/12 SecurityOnline — IDE (IntelliJ integrated development) アプリである、IntelliJ に存在する脆弱性 CVE-2024-37051 (CVSS:9.3) の詳細情報と PoC (Proof-of-Concept) エクスプロイト・コードが公開された。この脆弱性は GitHub のアクセス・トークンを流出させる可能性を持ち、JetBrains GitHub プラグインが有効化されている、バージョン 2023.1 以降の全ての IntelliJ ベースの IDE に影響するものだ。
Continue reading “JetBrains のトークン漏えいの脆弱性 CVE-2024-37051:PoC が公開された”Users of JetBrains IDEs at risk of GitHub access token compromise (CVE-2024-37051)
2024/06/11 HelpNetSecurity —- GitHub のアクセス・トークン侵害により、JetBrains IDE (integrated development environments) のユーザーが危険に晒される可能性のある、深刻な脆弱性 CVE-2024-37051 が修正された。JetBrains は、各種のプログラミング言語用の、IDE を提供しているベンダーである。
Continue reading “JetBrains の脆弱性 CVE-2024-37051 が FIX:IDE ユーザーの GitHub アクセストークンが漏洩の恐れ”Gitloker attacks abuse GitHub notifications to push malicious oAuth apps
2024/06/10 BleepingComputer — フィッシング攻撃を介して GitHub のセキュリティ/リクルート・チームになりすまし、悪意の OAuth アプリを用いてリポジトリを乗っ取り、侵害したリポジトリを消去すると脅すキャンペーンが現在進行中だという。遅くとも 2024年2月以降において、このキャンペーンで標的とされた数十人の開発者が、侵害された GitHub アカウントを用いて、ランダムなリポジトリの課題や、プルリクエストに追加されたスパム・コメントにタグ付けされた後に、”notifications@github.com” から偽の求人や警告のメールを受け取っているようだ。
Continue reading “GitHub のノーティフィケーションを介したフィッシング:悪意の oAuth アプリ・プッシュには要注意”Malicious VSCode extensions with millions of installs discovered
2024/06/09 BleepingComputer — Visual Studio Code マーケットプレイスの、セキュリティを調査していたイスラエルの研究者グループが、人気の公式テーマである “Dracula Official” のコピーに、実験として悪意のコードを取り込んだトロイの木馬により、100以上の組織を擬似的に感染させることに成功した。さらに、彼らが VSCode マーケットプレイスを調査したところ、数千もの悪意のエクステンションが、数百万もインストールされていることが判明した。
Continue reading “Microsoft VSCode 調査:数百万回もインストールされた悪意のエクステンションを発見!”New York Times source code stolen using exposed GitHub token
2024/06/08 BleepingComputer — The New York Times 内部のソースコードとデータが、同社の GitHub リポジトリから盗まれたのは 2024年1月のことだが、それらが 4chan 掲示板に流出した。New York Times から盗まれた 273GB のデータ含むアーカイブが、匿名のユーザーにより投稿されたの 6月6日 (木) のことであり、最初に発見したのは VX-Underground だった。
Continue reading “New York Times のソースコードが盗まれた:GitHub トークンの悪用からリポジトリ侵害にいたる”Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI
2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
Continue reading “PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布”New PyPI Malware “Pytoileur” Steals Crypto and Evades Detection
2024/05/29 InfoSecurity — Python Package Index (PyPI) 上に、悪意のパッケージ pytoileur が存在していたことが、サイバーセキュリティ研究者たちにより明らかになった。その、Python で書かれた API 管理ツールと謳うパッケージには、トロイの木馬化された Windows バイナリを、ダウンロードしてインストールするコードが仕込まれていた。それらのバイナリは、監視の機能/永続化の確立/暗号通貨の窃取などを可能にするおのであり、ダウンローダーとして機能するパッケージは、Sonatype の自動マルウェア検出システムにより発見された後に、ただちに削除された。
Continue reading “PyPI の新たな悪意のパッケージ Pytoileur:巧妙な手口で検知を回避”High-severity GitLab flaw lets attackers take over accounts
2024/05/24 BleepingComputer — GitLab が発表したのは、未認証の脅威アクターからのクロス・サイト・スクリプティング (XSS) 攻撃により、ユーザー・アカウントの乗っ取りにいたる可能性のある、深刻度の高い脆弱性へのパッチ適用である。この脆弱性 CVE-2024-4835 は、VS コード・エディタ (Web IDE) における XSS の欠陥であり、悪意を持って細工されたページを介して、制限された情報の窃取を、脅威アクターたちに許すものである。この攻撃は、認証を必要としない脆弱性の悪用により開始するが、その前提としてユーザーとの対話が必要であるため、攻撃の複雑さは高いものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2024-4835 が FIX:アカウント乗っ取りの可能性”Software Supply Chains Threatened: Nexus Repository CVE-2024-4956 Flaw Exposed
2023/05/23 SecurityOnline — ソフトウェア・サプライチェーン管理ソリューションを提供する Sonatype が発表したのは、広く使用されているアーティファクト・リポジトリ・マネージャー Nexus Repository に存在する、深刻な脆弱性 CVE-2024-4956 に関するセキュリティ・アドバイザリである。この脆弱性は、パス・トラバーサル欠陥として分類され、機密性の高いシステム・ファイルに、認証を必要とせずにアクセスする攻撃者が、それらをダウンロードするという可能性が生じる。結果として、機密データを暴露され、ソフトウェア開発パイプライン・セキュリティの破棄へといたるものである。
Continue reading “Sonatype Nexus Repository の脆弱性 CVE-2024-4956 が FIX:パス・トラバーサル発生の恐れ”Critical GitHub Enterprise Server Flaw Allows Authentication Bypass
2024/05/21 TheHackerNews — GitHub Enterprise Server (GHES) に存在する、きわめて深刻な脆弱性を悪用する攻撃者により、認証保護のバイパスが生じる可能性があるとして、GitHub は修正プログラムを配布している。この脆弱性 CVE-2024-4985 (CVSS:10.0) は、事前の認証を必要とせずに、インスタンスへの不正アクセスを許してしまう可能性を持つものだ。
Continue reading “GitHub Enterprise の深刻な脆弱性 CVE-2024-4985 (CVSS:10.0) が FIX:SAML SSO の利用に注意!”Threat Actors Abuse GitHub to Distribute Multiple Information Stealers
2024/05/15 SecurityWeek — 5月13日 (火) に脅威インテリジェンス企業 Recorded Future は、正規の GitHub プロフィールを悪用して情報窃取マルウェアを配布する、悪質なキャンペーンに対して警鐘を鳴らした。このキャンペーンの一環として、Commonwealth of Independent States (CIS) で活動するロシア語圏の脅威アクターたちが、1Password/Bartender 5/Pixelmator Proなどの正規アプリケーションを装いながら、Atomic macOS Stealer (AMOS)/Vidar/Lumma/Octo などのマルウェアを配布している。
Continue reading “GitHub とマルウェア群:共通のインフラから AMOS/Vidar/Lumma/Octo などで侵害”CVE-2024-32962 (CVSS 10): Critical Vulnerability in XML-Crypto Affects Millions
2024/05/01 SecurityOnline — XML ドキュメントの暗号セキュリティにおいて、広く使用されている不可欠なツール XML-Crypto npm パッケージに、深刻なセキュリティ上の欠陥が発見された。この脆弱性には CVE-2024-32962 が採番され、その深刻度は CVSS 値 10.0 と評価されている。この脆弱性は、電子署名の真正性を適切に検証しないという、同パッケージのデフォルト設定における基本機能の欠陥に起因しており、悪用に成功した攻撃者に対して、なりすまし署名を許してしまう。
Continue reading “XML-Crypto の脆弱性 CVE-2024-32962 が FIX:CVSS 値は 10.0”CISA says GitLab account takeover bug is actively exploited in attacks
2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS:10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。
Continue reading “CISA KEV 警告 24/05/01:GitLab の脆弱性 CVE-2023-7028 を KEV に追加”Millions of Docker repos found pushing malware, phishing sites
2024/04/30 BleepingComputer — Docker Hub ユーザーを標的として、2021年初めから展開されている3つの大規模なキャンペーンにより 、マルウェアやフィッシング・サイトをプッシュする、数百万のリポジトリが設置されていたことが判明した。Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、スパムからマルウェアやフィッシング・サイトなどにいたる、悪意のコンテンツが含まれていたことが、JFrog のセキュリティ研究者たちにより発見された。
Continue reading “Docker Hub ユーザーを標的にした3つのキャンペーン:2021年から展開されていたことが判明”Bogus npm Packages Used to Trick Software Developers into Installing Malware
2024/04/27 TheHackerNews — 現在進行中のソーシャル・エンジニアリング・キャンペーンは、ソフトウェア開発者の就活をターゲットにする偽の npm パッケージを提供し、Python バックドアをダウンロードさせるというものだ。サイバー・セキュリティ企業の Securonix は、このキャンペーンを DEV#POPPER という名前で追跡しており、北朝鮮の脅威アクターと結びつけている。
Continue reading “技術者の就活を狙う悪意の npm パッケージ:騙されてマルウェアをインストール”GitLab affected by GitHub-style CDN flaw allowing malware hosting
2024/04/22 BleepingComputer — 先日に BleepingComputer は、GitHub の欠陥 (あるいは設計上の仕様) を悪用する脅威アクターが、Microsoft のリポジトリに関連付けられた URL を介して、信頼できるファイルを装いながら、マルウェアを配布していることを報告した。この問題は、GitLab に対しても影響を及ぼすものであり、同様の方法で悪用される可能性が生じることが判明した。このマルウェアに関連する活動の大半は、Microsoft GitHub の URL に基づくものだった。しかしこの “欠陥” は、GitHub や GitLab の、あらゆる公開リポジトリで悪用が可能であり、きわめて説得力のあるルアーを、脅威アクターたちは作成できるという。
Continue reading “GitLab にも GitHub スタイルの コメント悪用の問題:マルウェアのホスティングが容易になる”GitHub comments abused to push malware via Microsoft repo URLs
2024/04/20 BleepingComputer — GitHub のバグ (あるいは設計上の仕様) を悪用する脅威アクターたちが、Microsoft のリポジトリに関連する URL を使って信頼できるファイルを装い、マルウェアを配布している。先日に発見されたマルウェアの多くは、Microsoft GitHub の URL を中心に活動していた。さらに、この “欠陥” の悪用は、GitHub 上のあらゆる公開リポジトリで応用できるため、きわめて説得力のあるルアーを、脅威アクターたちが作成するという可能性が生じている。
Continue reading “GitHub のコメント機能を悪用:Microsoft のリポジトリ URL 経由でマルウェア配布”HashiCorp Patches Critical CVE-2024-3817 Vulnerability in go-getter Library
2024/04/17 SecurityOnline — 広く使用されている HashiCorp の go-getter ライブラリに存在する、深刻な脆弱性 CVE-2024-3817 に対する、緊急のセキュリティ・アドバイザリが発表された。この脆弱性の悪用に成功した攻撃者は、Git の操作中に悪意のコードを注入することが可能となり、影響を受けるライブラリを使用しているシステムに危険が生じることになる。
Continue reading “HashiCorp の go-getter ライブラリの脆弱性 CVE-2024-3817 が FIX:ただちにパッチを!”US Government and OpenSSF Partner on New SBOM Management Tool
2024/04/17 InfoSecurity — Open Source Security Foundation (OpenSSF) は米国政府と共同して、ユーザー組織における Software Bill of Materials (SBOMs) 管理を簡素化する、新しいツールを発表した。新しい OSS ツールである Protobom は、すべての組織における SBOM とファイル・データの読取/生成をサポートし、また、業界標準の SBOM フォーマット間で、それらのデータを変換するためのものだ。
Continue reading “米政府と OpenSSF がパートナーシップ:SBOM 管理のためのツール Protobom とは?”Threat Actors Game GitHub Search to Spread Malware
2024/04/11 InfoSecurity — 脅威アクターたちは、悪意のコードが隠された GitHub リポジトリを、多大な労力を費やして拡散していると、Checkmarx が警告している。最近に発見されたキャンペーンでは、これらのリポジトリが GitHub の検索結果の上位に表示されるよう設計された、テクニックが展開されていたという。
Continue reading “GitHub リポジトリ検索の悪用:マルウェア拡散の温床になっている”XZ Utils Scare Exposes Hard Truths About Software Security
2024/04/11 DarkReading ‐‐‐ ほぼ全ての主要 Linux ディストリビューションに搭載されている、データ圧縮ユーティリティである XZ Utils に、バックドアが注入されていたことが、最近になって判明した。このインシデントから痛感させられるのは、OSS コンポーネントを利用する組織は、ソフトウェアの安全性を確保する責任を、最終的に負う必要があるということだ。
Continue reading “XZ Utils バックドア騒動:ソフトウェア・セキュリティの問題点が浮き彫りに”GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade
2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2/16.9.4/16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。
Continue reading “GitLab の4件の脆弱性が FIX:XSS および Dos が発生する可能性”GitHub Developers Hit in Complex Supply Chain Cyberattack
2024/03/25 DarkReading — 正体不明の脅威グループが、Top.gg の GitHub のメンバーや開発者たちに対して高度なサプライチェーン攻撃を展開し、このコード・エコシステムに悪意のコードを注入していることが明らかになった。攻撃者は、信頼されているソフトウェア開発要素に侵入することで、開発者たちを侵害していく。彼らは、盗んだクッキーで GitHub アカウントを乗っ取り、検証済みのコミットを通じて悪意のコードを投稿し、偽の Python ミラーを確立し、PyPI レジストリに汚染されたパッケージを公開する。
Continue reading “GitHub のサプライチェーン攻撃:Top.gg アカウントを悪用してマルウェアを展開”Over 800 npm Packages Found with Discrepancies, 18 Exploitable to ‘Manifest Confusion’
2024/03/21 TheHackerNews — npm レジストリに存在する、800 以上のパッケージのレジストリ・エントリに不一致であることが、サイバーセキュリティ企業 JFrog の新たな調査により判明した。不一致があったエントリのうちの 18 件は、 “Manifest Confusion” と呼ばれる手法を悪用していたという。JFrog によると、開発者を騙して悪意のコードを実行させるために、この問題が脅威アクターに悪用される可能性があるという。
Continue reading “800 以上の NPM パッケージで不一致を検出:そのうちの 18件は Manifest Confusion を悪用”GitHub Launches AI-Powered Autofix Tool to Assist Devs in Patching Security Flaws
2024/03/21 TheHackerNews — 3月20日に GitHub が発表したのは 、Advanced Security の全顧客を対象に、コードスキャン自動修正と呼ばれる機能を、パブリック・ベータ版として公開することである。GitHub の Pierre Tempel と Eric Tooley によると、「GitHub Copilot と CodeQL を搭載したコードスキャン自動修正機能は、JavaScript/TypeScript/Java/Python のアラート・タイプの 90%以上をカバーし、見つかった脆弱性の3分の2以上を、ほとんど編集せずに修正できるコード案を提供する」という。
Continue reading “GitHub Advanced Security の新機能がリリース:AI を活用した脆弱性のパッチ適用支援”“Gitgub” Malware Campaign Targets Github Users With Risepro Info-Stealer
2024/03/17 SecurityAffairs — RisePro インフォ・スティーラーを配信するように設計され、クラック済みのソフトウェアをホストする、少なくとも 13 の GitHub リポジトリを、G-Data の研究者たちが発見した。専門家たちが気づいたのは、このキャンペーンの運営者が、”gitgub” という名称を用いていたことだ。悪意の GitHub リポジトリに関する Arstechnica の情報を得て、研究者たちは調査を開始した。彼らは、このキャンペーンに関与しているリポジトリを特定するために、脅威ハンティング・ツールを作成した。その結果として判明したのは、すべてのリポジトリが同じダウンロード・リンクにつながるという、新たに作成されたリポジトリの存在である。
Continue reading ““gitgub” というマルウェア・キャンペーン:GitHub ユーザーにRisePro インフォ・スティーラーを配布”
IoT OT Security News 
You must be logged in to post a comment.