Alert: Million of GitHub Repositories Likely Vulnerable to RepoJacking Attack
2023/06/22 TheHackerNews — GitHub 上の何百万ものソフトウェア・リポジトリが、RepoJackingと呼ばれる攻撃に対して脆弱である可能性が高いことが、新たな研究で明らかになった。マサチューセッツ州を拠点とするクラウドネイティブ・セキュリティ企業 Aqua が、水曜日に発表したレポートによると、それらの脆弱なリポジトリには、Google や Lyft などの、いくつかの組織のものも含まれているという。この、リポジトリ依存関係ハイジャックとも呼ばれるサプライチェーンの脆弱性は、活動を停止した組織やユーザーの名前を乗っ取り、悪意のコードを忍び込ませ、トロイの木馬化したバージョンのリポジトリを公開する攻撃の一種である。
Continue reading “GitHub で懸念される RepoJacking 攻撃:変更された名称の悪用が容易だと判明”What to Know About the CISA Software Bill of Materials Sharing Lifecycle Phases
2023/06/20 SecurityBoulevard — Software Bill of Materials (SBOM) を採用するための取り組みが、成熟へ向けて動き出している。先日に Cybersecurity and Infrastructure Security Agency (CISA) が発表した報告書では、SBOM 共有ライフサイクルの各フェーズを実施するための、時間/リソース/専門知識/労力/ツールへのアクセス量をベースにした、適切な SBOM 共有プラットフォームを選択する際の指針が示されている。
Continue reading “SBOM Lifecycle:CISA が分析する発見/アクセス/転送の各フェーズとは?”New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries
2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。
Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”ICS Patch Tuesday: Siemens Addresses Over 180 Third-Party Component Vulnerabilities
2023/06/14 SecurityWeek — Siemens が発表したのは、合計で約200件の脆弱性をカバーする、12件の新たなアドバイザリである。これらの脆弱性の大部分は、サードパーティのコンポーネントに影響を与えるものだとされる。Siemens は顧客に通知したのは、Simatic S7-1500 に対して、特に TM MFP (Multi Functional Platform) に影響を及ぼす、Linux カーネルの 108件の脆弱性である。同社は、これらの脆弱性に対するパッチを準備中であり、それらが提供されるまでの間の、回避策と緩和策を共有している。
Continue reading “ICS Patch Tuesday: Siemens が公表した 180件の OSS コンポーネントにおける脆弱性”Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits
2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
Continue reading “GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用”The First Kubernetes Bill of Materials Standard Arrives
2023/06/13 TheNewStack — Software Bill of Materials (SBOM) を使っていない組織であっても、すぐに使うことになるだろう。SBOM は、ビルディング・コードのセキュリティ防御における、不可欠な基盤として捉えられている。Software Package Data Exchange (SPDX) や CycloneDX に加えて、GitHub における依存関係サブミッション・フォーマットなどの、いくつかの SBOM 標準が存在していたが、これまでは Kubernetes 専用の標準が存在しなかった。しかし、Kubernetes Security Operations Center (KSOC) の、Kubernetes Bill of Materials (KBOM) スタンダードが出てきたようだ。
Continue reading “Kubernetes の SBOM:KBOM スタンダードの第一稿が登場”Easily Exploitable Microsoft Visual Studio Bug Opens Developers to Takeover
2023/06/08 DarkReading — セキュリティ研究者たちが警告しているのは、Microsoft Visual Studio のインストーラに存在するバグにより、悪意のエクステンションを作成するサイバー攻撃者が、正規のソフトウェア・パブリッシャーを装い、アプリケーション開発者に配布する方法が生じる点である。そのような悪意のエクステンションを介して開発環境に侵入し、制御を奪い、コードを汚染させ、価値の高い知的財産を盗むことが可能になるという。
Continue reading “Visual Studio の脆弱性 CVE-2023-28299:Microsoft が言うより悪用は簡単だ”Over 60,000 Android apps secretly installed adware for past six months
2023/06/06 BleepingComputer — これまでの6ヶ月間において、正規のアプリケーションを装う 60,000 件以上の Android アプリが検出を回避して、モバイル端末にアドウェアをインストールしていたことが判明した。この発見は、ルーマニアのサイバー・セキュリティ企業 Bitdefender によるものだ。先月に同社は、Bitdefender Mobile Security ソフトウェアに追加された異常検知機能を用いて、それらの悪意のアプリを検出したという。
Continue reading “Android アドウェア 60,000 件を発見:Google Play 以外からのインストールは危険だ!”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”PyPI announces mandatory use of 2FA for all software publishers
2023/05/28 BleepingComputer — Python Package Index (PyPI) が発表したのは、同プラットフォーム上でプロジェクトを管理する全てのアカウントに対して、2023年内に二要素認証 (2FA) をオンにすることの義務付けである。PyPI とは、プログラミング言語 Python で作成されたパッケージのための、ソフトウェア・リポジトリのことである。このインデックスには、20万個のパッケージが登録されており、開発者は各種プロジェクトの要件を満たす既存のパッケージを、ここで見つけることにより、時間と労力を節約することが可能となる。
Continue reading “PyPI による 2FA 義務化のアナウンスメント:すべてのアカウントで年末までに対応”GitLab ‘strongly recommends’ patching max severity flaw ASAP
2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS:10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-2825:Ver 16.0.0 ユーザーは直ちにアップデートを!”The Rising Threat of Secrets Sprawl and the Need for Action
2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模の レポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。
Continue reading “シークレットが氾濫する GitHub の世界:どのように緩和していくべきなのか – Git Guardian 提案”PyPI temporarily pauses new users, projects amid high volume of malware
2023/05/20 BleepingComputer — オープンソース Python パッケージの、公式サードパーティ登録機関である PyPI において、新規ユーザーのサインアップと新規プロジェクトのアップロードが一時的に停止された。PyPI の管理者は、悪意のユーザーやパッケージが大量に流入し、レジストリの維持が困難になったことで、この措置を講じたようだ。
Continue reading “PyPI の停止について:新規のユーザー登録とプロジェクト作成を一時的に止めます”Once Again, Malware Discovered Hidden in npm
2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ/レジストリに存在する、“nodejs-encrypt-agent” という名前の2つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。
Continue reading “npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア”New SBOM Hub Helps All Stakeholders in Software Distribution Chain
2023/05/18 SecurityWeek — Lineaje は、SBOM360 Hub という新しいプラットフォームを公開した。このツールは、SBOM (Software Bills of Materials) に関するコンプライアンス成果物を、ソフトウェアの生産者/販売者/消費者が、公開/共有/使用するためのサービスである。SBOM とリンクされた認証アーティファクトの提供に関連して、2023年9月に施行される大統領令 14028 (Executive Order 14028) で定められた、ソフトウェアの生産者/販売者による準拠が、この新しいハブにより推進されると、 Lineaje は述べている。
Continue reading “SBOM360 Hub は新たなプラットフォーム:ソフトウェア流通に関わるステークホルダーを支援”Malicious Microsoft VSCode extensions steal passwords, open remote shells
2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。
Continue reading “Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的”Apple blocked 1.7 million apps for privacy, security issues in 2022
2023/05/16 BleepingComputer — Apple App Store チームは 2022年に、プライバシー/セキュリティ/コンテンツ・ポリシーに違反した 約170万件のアプリをブロックし、不正の可能性があるとタグ付けされた $2 billion 以上の取引を阻止した。また、アカウント詐欺を撃退するための、不正行為に対する継続的な取り組みの一環として、顧客アカウント 2億8200万件の無効化、および、1億500万件のデベロッパー・アカウント作成のブロック、42万8000件のデベロッパー・アカウントの停止を実施した。
Continue reading “Apple App Store の 2022年の戦い:ブロックした悪質なアプリは 170万件!”Never leak secrets to your GitHub repositories again
2023/05/10 HelpNetSecurity — GitHub のプッシュ・プロテクション (リポジトリでの機密漏えいを自動的に防ぐためのセキュリティ機能) が、すべてのパブリック・リポジトリの所有者に向けて無料化された。これまでは、GitHub Advanced Security ライセンスを持つ、プライベート・リポジトリの所有者のみが利用可能だった。この機能は、オープンソースの開発者やメンテナが、コードのセキュリティを積極的に確保することを目的としている。
Continue reading “GitHub のプッシュ・プロテクション:すべてのパブリック・リポジトリで無料化”2023/05/09 SecurityWeek — リスク管理や脆弱性の影響を判断する際に SBOM は有用であるが、複数のプラットフォームでデータが標準化されていないと、全体的なリスク・モデルを構築することは極めて困難になる。2021年5月に発せられたバイデン大統領の大統領令 14028号には、「ソフトウェアのサプライチェーンを理解し、SBOM を取得し、それを使って既知の脆弱性を分析することが、リスク管理において重要である」と記されており、ソフトウェアを政府調達する際の SBOM の必要性を訴えるものだった。 そのことが、セキュリティ分野における大きな契機となり、米政府の機関と請負業者の双方において、広く使われているソフトウェアの内部構造に関して、さまざまな疑問が生じることになった。
Continue reading “SBOM について考える:複数のプラットフォーム間でのデータの標準化は?”Codenotary Previews Secure SBOM Creation Service
2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成/保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成/保存する機能を備えているという。
Continue reading “Codenotary SBOM Center のプレビューが公開:セキュアな SBOM の作成が可能に”PrestaShop fixes bug that lets any backend user delete databases
2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込/更新/削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner/Administrator/Sales Representative/Customer Support Agent/Order Processor/Data Entry Staff などとなる。
Continue reading “PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション”2023/04/25 DarkReading — この 2023年という年において、すべてのビジネスにおける重要な役割を、ソフトウェアは担っている。そして、ソフトウェアの構築/導入に携わる組織は、ソフトウェア・サプライチェーンの弱点について、潜在的な攻撃者よりも多くを知ることが絶対的に重要となる。将来における SBOM (software bills of materials) の有用性は、標準に準拠すること、コードベース全体を考慮することに加えて、企業規模での相互運用性を可能にする能力を高めることに掛かっている。
Continue reading “SBOM を構築して活用する:そのための第一歩について考え始めよう”Researchers Find 250 Million Artifacts Exposed in Misconfigured Registries
2023/04/25 InfoSecurity — Aqua Nautilus の調査により、何千もの誤った設定のアーティファクト・リポジトリと、コンテナ・イメージ・レジストリが発見され、深刻なソフトウェア・サプライチェーン攻撃にユーザー組織がさらされる可能性があることが判明した。セキュリティ・ベンダーである同社の調査により、2億5000 万以上のソフトウェア・アーティファクトと、65,000 以上のコンテナ・イメージが、このような形で公開されている状況が判明した。いくつかの大手グローバル企業が危険にさらされ、そこには Fortune 500 企業も含まれていることも明らかされた。
Continue reading “リポジトリ/レジストリの誤設定で 2.5 億件のアーティファクトが暴露:Fortune 500 企業にもリスク”GitHub now allows enabling private vulnerability reporting at scale
2023/04/22 BleepingComputer — GitHub の発表は、プライベート脆弱性レポートを誰もが利用できるようになり、組織に属する全リポジトリで大規模に有効化することも可能になったというものだ。この機能を有効化すると、専用のコミュニケーション・チャネルを使用するセキュリティ研究者たちは、誤って脆弱性の詳細を漏らすことなく、オープンソース・プロジェクトのメンテナに対して、セキュリティ問題を非公開で開示することが可能になる。GitHub の Eric Tooley と Kate Catlin は、「研究者やメンテナが、公開リポジトリ上の脆弱性を報告し、修正することを容易にする、プライベートなコラボレーション・チャネル」だと述べている。
Continue reading “GitHub の新機能:プライベートな脆弱性レポートを安全に共有できるようになった”Cloud Security Alerts Take Six Days to Resolve
2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) /業界/国々にまたがる組織に配備された数万個のセンサーや、GitHub/NVD (National Vulnerability Database) などの公開ソースを調査した。
Continue reading “クラウド・セキュリティ警告の解決には約6日が必要:OSS への依存が要因 – Palo Alto 調査”Google delivers secure open source software packages
2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Continue reading “Google が発表した Assured OSS サービス:Java/Python エコシステムからサポートを開始”Researchers Uncover 7000 Malicious Open Source Packages
2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを3月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。
Continue reading “悪意のオープンソース・パッケージが約 7,000 個も発見された – Sonatype 調査”‘Blatantly Obvious’: Spyware Offered to Cyberattackers via PyPI Python Repository
2023/04/12 DarkReading — 研究者たちは、プログラミング言語 Python のパブリック・リポジトリである PyPI (Python Package Index) で、大胆な方法で情報スティラーを公開しているマルウェア販売者を発見した。このプログラムは、“reverse-shell” という安直な名前が付けられており、Sonatype の研究者たちは、スペインを拠点とする Malware-as-a-Service (MaaS) グループの SylexSquad と関連づけている。リバースシェルとは、ハッカーが遠隔操作でコマンドを実行する際や、標的となるコンピュータからデータを受信するときに用いるプログラムを指す。
Continue reading “PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?”The Army Wants SBOMs—and So Should the Other Services
2023/04/11 DefenseOne — 公共分野の組織と、連携するすべての組織は、どのようなソフトウェアが使われているのかを、よりよく把握する必要がある。2022年10月に、米陸軍の調達部門は、ソフトウェアとネットワークをベースにした攻撃を防ぐために、大きな変化をもたらす可能性のある小さな一歩を踏み出した。それは、SBOM に関する情報提供を求めるものである。
Continue reading “米陸軍は SBOM を望んでいる:民間への波及効果が期待される?”GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements
2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。
Continue reading “GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする”Docker’s BuildKit adds SBOM attestation capabilities: How they work — and key limitations
2023/04/04 SecurityBoulevard — 今年の初めに Docker は、BuildKit ツールにおいて、ビルド時の証明書と SBOM (Software Bills of Materials) のサポートを追加し、それぞれのイメージ内のソフトウェア・コンポーネントのビルド・プロセスを、開発チームが完全に記録する方法を提供するようになった。BuildKit とは、コンテナ・イメージを構築するための Docker のビルド・エンジンであり、従来からのスクリプト・ベースの Dockerfile ビルド・エンジンを改良したものである。Docker は、このツールにより、ビルドのパフォーマンスが向上し、Dockerfile の再利用性が高まったと主張している。
Continue reading “Docker の BuildKit で SBOM をサポート:どのように機能するのか?どんな制限があるのか?”GitHub’s Private RSA SSH Key Mistakenly Exposed in Public Repository
2023/03/25 DarkReading — 暗号化方式の RSA SSH ホスト鍵の機密部分が、未知の脅威アクターにより公開されたことで、GitHub は SSH キーを交換した。GitHub のオープン・リポジトリで、脅威アクターがシークレット・キーを公開したと思い込み、飛びつく人もいるかもしれないが、これはヒューマン・エラーによって発生したものだった。SSH キーには、パブリック・キーとシークレット・キーがあり、パブリック・キーは共有/公開できるが、シークレット・キーは秘密にしておくことが不可欠なのだ。誰が公開したのか、どこで公開されたのかという点について、GitHub は情報を公表していないが、管理者はブログで状況を説明している。
Continue reading “GitHub の RSA SSH シークレット・キー:パブリック・リポジトリに誤って公開される”Python info-stealing malware uses Unicode to evade detection
2023/03/23 BleepingComputer — PyPI 上の悪意の Python パッケージが、難読化技術として Unicode を悪用することで検出を回避し、侵害したデバイスから開発者のアカウント情報などの機密データを、盗み出して流出させている。この onyxproxy と名付けられた悪意のパッケージは、ソースコード内で複数の Unicode フォントを組み合わせて使用している。それにより、悪意の関数を特定するための、自動スキャンや文字列照合といった防御を回避していく。Phylum のサイバー・セキュリティ専門家たちが onyxproxy を発見し、その手法を説明するレポートを発表している。
Continue reading “Python の Unicode を悪用:新たな情報スティーラーは巧妙に検出を回避する”Hackers target .NET developers with malicious NuGet packages
2023/03/20 BleepingComputer — タイポスクワッティングにより複数の正規パッケージになりすました暗号通貨ステーラーが、NuGet リポジトリを通じて配信され、.NET 開発者をターゲットに感染し続けている。この継続的なキャンペーンを発見した、JFrog のセキュリティ研究者 Natan Nehorai と Brian Moussalli によると、そのうちの3つは、この1ヶ月の間に 15万回以上もダウンロードされているとのことだ。この膨大なダウンロード数は、システムを侵害された多数の .NET 開発者を示している可能性もありるが、悪意の NuGet パッケージを正当化するために、攻撃者が人為的に操作した結果なのかもしれない。
Continue reading “.NET 開発者がターゲット:NuGet に展開された悪意のパッケージを追跡”Inside Threat: Developers Leaked 10M Credentials, Passwords in 2022
2023/03/10 DarkReading — 喜ばしいことに、2022年には、パスワードや API キーなどの、ソフトウェアの機密情報が流出する割合が半減しており、GitHub リポジトリへのコミット 1,000件につき 5.5件というレベルになった。今週に、機密管理会社である GitGuardian が発表した 2022 State of Secrets Sprawl に、このような調査の結果が記されている。上記の割合は一見すると小さく思えるが、公開リポジトリに機密情報が漏れる事例は、全体では少なくとも 1000万件も検出され、ユニークな機密としての 300 万件も含まれるという。
Continue reading “GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた”Jenkins Security Alert: New Security Flaws Could Allow Code Execution Attacks
2023/03/08 TheHackerNews — Continuous Integration (CI)/Continuous Delivery (CD) を提供するオープンソースの Jenkins で発見された、2つの深刻なセキュリティ脆弱性は、標的システム上でのコード実行にいたる可能性のあるものだ。この脆弱性は CVE-2023-27898/CVE-2023-27905 は、Jenkins のサーバおよび Update Center に影響を及ぼすものであり、クラウド・セキュリティ企業である Aqua は CorePlague と称している。Jenkins 2.319.2 以前の、すべてのバージョンに影響を及ぼし、悪用が可能だとされる。
Continue reading “Jenkins の深刻な脆弱性 CVE-2023-27898/CVE-2023-27905 が FIX”Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI
2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。
Continue reading “PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布”GitHub’s secret scanning alerts now available for all public repos
2023/03/01 BleepingComputer — GitHub が発表したのは、すべての公開リポジトリにおいて、シークレット・スキャン・アラート・サービスが利用できるようになり、公開履歴全体にわたって流出したシークレットを検出できるようになったことだ。このシークレットとは、GitHub のリポジトリに誤って追加された APIキー/アカウントパスワード/認証トークンなどの機密データであり、攻撃者によるセキュリティ侵害や非公開データへのアクセスなどへといたる可能を生じるものだ。
Continue reading “GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック”Researchers find hidden vulnerabilities in hundreds of Docker containers
2023/02/23 HelpNetSecurity — Rezilion が明らかにした、数百の Docker コンテナ・イメージに存在する脆弱性は、ほとんどの標準的な脆弱性スキャナや SCA (Software Composition Analysis) ツールでは検出されないものだという。数十億回もダウンロードされた数百の一般的なコンテナ・イメージ内に、深刻度が Critical/High の脆弱性が数多く隠されていることが、この調査により判明した。それらの脆弱性の中には、悪用方法が公表されている有名なものも含まれている。
Continue reading “Docker コンテナ・イメージに取り込まれる脆弱性:4つの混入シナリオとは?”Open Source Flaws Found in 84% of Codebases
2023/02/22 InfoSecurity — 5つのコードベースのうちの4つ以上 (84%) が、少なくとも1つの、既知のオープンソース脆弱性を含んでいるという。この数字は、Synopsys の Open Source Security and Risk Analysis Report (OSSRA) によるもので、昨年と比較して約 4% 増加しているとのことだ。また、この調査レポートが指摘するのは、Edtech 分野でのオープンソースの採用が 163% 増加し、宇宙/航空/自動車/輸送/物流の分野では 97%、製造およびロボットの分野では 74% 増加している点だ。
Continue reading “84% のコードベースに既知のオープンソース脆弱性:開発ライフサイクルに可視性を!”Npm Packages Used to Distribute Phishing Links
2023/02/22 InfoSecurity — 複数のユーザー・アカウントから、数時間のうちに 15,000以上のスパム・パッケージを、OSS リポジトリ npm にアップロードするという脅威が確認されている。2023年2月21日に、JavaScript 開発者である Jesse Mitchell は、「npm に対するスパム攻撃を検知した。何万ものパッケージがレジストリに殺到し、トップページを占拠している」と、Twitter に投稿している。続いて、Checkmarx の Cybersecurity Expert である Yehuda Gelb が、さらに調査/分析を行い、その結果についてアドバイザリで述べている。
Continue reading “Npm に大量の悪意のパッケージ:分散型フィッシング・リンクを備えている”Devs targeted by W4SP Stealer malware in malicious PyPi packages
2023/02/12 BleepingComputer — Python Package Index (PyPI) 上で発見された5つの悪意のパッケージは、無防備な開発者からパスワード/Discord 認証クッキー/暗号通貨ウォレットを盗み出すものだ。PyPI とは、プログラミング言語 Python で作成されたパッケージのためのソフトウェア・リポジトリであり、約 20万個のパッケージをホストしている。そのため、開発者は各種のプロジェクト要件を満たす、既存のパッケージを見つけることが可能となり、時間と労力を節約できる。
Continue reading “PyPI パッケージに潜む W4SP Stealer:あらゆる機密情報を盗み取る”Researchers Uncover Obfuscated Malicious Code in PyPI Python Packages
2023/02/10 TheHackerNews — Python Package Index (PyPI) に侵入した4種類の悪意のパッケージが、マルウェア投下/netstat ユーティリティ削除/SSH authorized_keys ファイルの操作などの、数々の悪質なアクションを実行することが確認されている。問題のパッケージの名称は、aptx/bingchilling2/httops/tkint3rs であり、いずれも削除までの間に、450回ほどダウンロードされている。なお、aptx は Qualcomm の同名オーディオ・コーデックを模倣したものであり、httops と tkint3rs は、それぞれ https と tkinter のタイポスクワッティングである。
Continue reading “PyPI に 悪意の Python パッケージ:すでに 450回もダウンロードされている”Malicious Npm Package Uses Typosquatting, Downloads Malware
2023/02/10 InfoSecurity — オープンソース JavaScript の npm リポジトリで、タイポスクワッティングを用いて悪意のコンポーネントをダウンロードさせる、aabquerys というパッケージが発見された。今回の発見は、ReversingLabs のセキュリティ研究者によるもので、aabquerys は感染済のシステムに対して、第2段階/第3段階のマルウェア・ペイロードをダウンロードすることも可能だとされる。
Continue reading “NPM に悪意のパッケージ aabquerys:タイポスクワッティングでマルウェア配布”Researchers Claim High-Risk Vulnerabilities Found in 87% of All Container Images
2023/02/01 InfoSecurity — コンテナ・イメージの圧倒的多数である 87% において、深刻な脆弱性が存在していること、また、90% において、コンテナに関連するパーミッションが使用されていないことが判明した。この指摘は、クラウド/コンテナ統合セキュリティ企業である Sysdig の最新レポートによるものであり、InfoSecurity と共有されたものだ。また、この新しいデータによると、修正プログラムが提供されている深刻な脆弱性のうち、ランタイムにロードされるパッケージに含まれるものは、わずか 15% に過ぎないことが示されている。したがって、使用時に脆弱なパッケージをフィルタリングすることで、本質的なリスクを示す脆弱性が、より少ないものに対して集中していける。
Continue reading “コンテナ・イメージのセキュリティ調査:全体の 87% に深刻な脆弱性が存在する”Malicious NPM, PyPI Packages Stealing User Information
2023/02/01 SecurityWeek — NPM/PyPI に存在するパッケージの中に、ユーザー情報の窃取と追加のペイロードをダウンロードの行うものあると、先日に Check Point と Phylum が警告を発した。アプリケーション開発において広く利用されているオープンソース・コードを悪用する脅威アクターたちは、開発者とユーザーをマルウェアに感染させるために、ソフトウェア・サプライチェーン攻撃を多用している。2022年10月の Sonatype のレポートによると、2022年に観測されたソフトウェア・サプライチェーン攻撃の数は、前年比 633% 増となっている。
Continue reading “NPM/PyPI に悪意のパッケージ:Python-drgn と bloxflip に要注意”GitHub revokes code signing certificates stolen in repo hack
2023/01/30 BleepingComputer — 未知の攻撃者が GitHub の開発とリリース計画にリポジトリにアクセスし、Desktop/Atom アプリケーションの暗号化されたコード署名証明書を盗み出したとのことだ。GitHub によると、盗み出されてしまったパスワード保護された証明書 (Apple Developer ID 証明書1枚と Windows アプリに使用される Digicert コード・サイニング証明書2枚) が、悪意の目的で使用されたという証拠は、これまでのところ発見されていない。
Continue reading “GitHub から盗まれたコード署名証明書:Desktop/Atom 版が 2月2日に失効”Nissan North America data breach caused by vendor-exposed database
2023/01/17 BleepingComputer — Nissan North America は、サードパーティ・プロバイダーにおける情報漏えいを介して、顧客情報の流出が発生したとする通知を開始している。このセキュリティ・インシデントは、2023年1月16日 (月) にメイン州司法長官事務所に報告されたものであり、17,998人の顧客が侵害の影響を受けたことを、Nissan は明らかにしている。Nissan による通知には、2022年6月21日にソフトウェア開発ベンダーの1社から、データ侵害の通知を受けたと記されている。
Continue reading “Nissan North America にデータ侵害が発生:17,998人の顧客データが流出”Malicious ‘Lolip0p’ PyPi packages install info-stealing malware
2023/01/16 BleepingComputer — ある脅威アクターが、PyPI (Python Package Index) リポジトリにアップロードした3つの悪意のパッケージには、開発者たちのシステムに情報窃取マルウェアをドロップするコードが搭載されている。Fortinet が発見した悪意のパッケージは、その全てが 2023年1月7日〜12日の間に、”Lolip0p” という作者によりにアップロードされたものだ。それらの名称は、colorslib/httpslib/libhttps であり、すでに PyPI からは削除されている。
Continue reading “PyPI に悪意の3つのパッケージ:数日で 500件以上のダウンロードにいたる”Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident
2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて 2FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。
Continue reading “CircleCI のデータ侵害:セッションクッキーが窃取され 2FA が突破された”
IoT OT Security News 
You must be logged in to post a comment.