GitHub Enhances Security Capabilities With AI
2023/11/08 SecurityWeek —
今日、Microsoft 傘下の GitHub が、GitHub Advanced Security の AI を活用しする、3つの機能のパブリック・プレビューを発表した。GitHub Enterprise Cloud および Enterprise Server の顧客向けに提供される Advanced Security により、コードの品質を維持/向上するための一連の機能が提供される。Dependabot などの機能の一部は、公開リポジトリでも利用できる。
Continue reading “GitHub の AI 拡張:3つの機能のパブリック・プレビューを発表”Malicious NuGet Packages Caught Distributing SeroXen RAT Malware
2023/10/31 TheHackerNews — NuGet パッケージ・マネージャに公開された、珍しいマルウェア展開の方法を用いる悪意のパッケージの新しいセットを、サイバー・セキュリティ研究者たちが発見した。ソフトウェア・サプライ・チェーンのセキュリティ企業である ReversingLabs は、「このキャンペーンは、SeroXen RAT と呼ばれるリモート・アクセス型トロイの木馬を配信するために、不正な NuGet パッケージのホストとの関連付けを用いながら、2023年8月1日以降において広まってきている」と説明している。
Continue reading “NuGet パッケージに潜む SeroXen RAT:GitHub にホストされるペイロードへの導線”EleKtra-Leak Cryptojacking Attacks Exploit AWS IAM Credentials Exposed on GitHub
2023/10/30 TheHackerNews — EleKtra-Leak と名付けられた現在進行中の新しいキャンペーンは、クリプト・ジャッキング活動を促進するために、パブリックな GitHub リポジトリ内の公開された、Amazon Web Service (AWS) の ID/IAM 資格情報に目をつけた。Palo Alto Networks Unit 42 の 研究者である William Gamazo と Nathaniel Quist は、「このキャンペーンに関与する脅威アクターたちは、複数の AWS Elastic Compute (EC2) インスタンスを作成し、広範かつ長期的なクリプトジャッキング操作に用いていた」と、The Hacker News と共有した技術レポートの中で述べている。
Continue reading “EleKtra-Leak クリプトジャッキング: AWS IAM と GitHub のギャップを突いて活動”Logging Made Easy: Free log management solution from CISA
2023/10/30 HelpNetSecurity — CISA が発表した Logging Made Easy (LME) の新バージョンは、Windows ベースのデバイスに対応し、無償でのダウンロードとセルフ・インストールが可能な、使いやすいログ管理ソリューションである。LME の CISA 版は、英国の National Cyber Security Centre (NCSC) により開発された技術を、GitHub 上に再構築したものであり、多くの人々が利用できるようになっている。
Continue reading “CISA の Logging Made Easy:GitHub 上で無償で提供されている”StripedFly malware framework infects 1 million Windows, Linux hosts
2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を5年間にわたり回避し、100万台以上の Windows/Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年 から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。
Continue reading “StripedFly という APT:5年間で 100万台以上の Windows/Linux システムに感染”GNOME Linux systems exposed to RCE attacks via file downloads
2023/10/09 BleepingComputer — GNOME デスクトップ環境を実行している Linux システム上の、オープンソース libcue ライブラリに存在するメモリ破壊の脆弱性により、攻撃者に任意のコード実行を許す可能性がある。libcue は、Cue Sheet File を解析するために設計されたライブラリであり、Tracker Miners File Metadata Indexer に統合され、最新の GNOME バージョンではデフォルトとして取り込まれている。Cue Sheet (CUE) ファイルは、CD のオーディオ・トラックの長さ/曲名/ミュージシャンなどのレイアウトを取り込んだプレーン・テキスト・ファイルであり、通常は 、FLAC オーディオ・ファイル・フォーマットとペアになっている。
Continue reading “GNOME Tracker Miners の脆弱性 CVE-2023-43641 が FIX:1クリックで RCE にいたる”GitHub’s Secret Scanning Feature Now Covers AWS, Microsoft, Google, and Slack
2023/10/06 TheHackerNews — GitHub が発表した、そのシークレット・スキャン機能の改良/拡張により、一般的な Amazon Web Services (AWS)/Microsoft/Google/Slack などのサービスでの有効性チェックも、カバーされるようになるという。今年のはじめに GitHub が導入した有効性チェックは、シークレット・スキャンにより発見されたトークンの有効性についてユーザーに警告し、効果的な修復措置を可能にするものだ。この有効性チェックは、まず GitHub トークンで有効化された。クラウドベースのコード・ホスティングとバージョン管理サービスを提供する GitHub は、より多くのトークンを、将来的にサポートするつもりだと述べている。
Continue reading “GitHub のシークレット・スキャンが拡張:AWS/Microsoft/Google/Slack などをカバー”Exploits released for Linux flaw giving root on major distros
2023/10/05 BleepingComputer — GNU C Library の Dynamic Loader に存在する深刻度の高い脆弱性を介して、主要な Linux ディストリビューション上でローカル攻撃者が root 権限を取得するという、PoC エクスプロイトがオンライン上で提供されている。Looney Tunables と名付けられた脆弱性 CVE-2023-4911 は、バッファオーバー・フローに起因するものであり、デフォルトでインストールされている Debian 12/13 および、Ubuntu 22.04/23.04、Fedora 37/38 に影響を及ぼす。
Continue reading “GNU C Library の脆弱性 CVE-2023-4911:PoC エクスプロイトが登場し始めた”CVE-2023-38545, CVE-2023-38546: Frequently Asked Questions for New Vulnerabilities in curl
2023/10/04 tenable — 10月3日の X (Twitter) で、オープンソース開発者であり、curl のメンテナでもある Daniel Stenberg が、curl 8.4.0 で修正される深刻度の高い脆弱性について発表した。Daniel は、新しいバージョンは、予定より早目の 10月11日にリリースされると述べている。また、 Twitter スレッドへの返信で、「これまでと比べて、curl で発見された最悪のセキュリティ欠陥である」と指摘している。
Continue reading “curl の深刻な脆弱性 CVE-2023-38545/CVE-2023-38546:10月11日の 8.4.0 で FIX”Hundreds of malicious Python packages found stealing sensitive data
2023/10/04 BleepingComputer — この半年で複雑さを増した悪質なキャンペーンにより、OSS プラットフォームに数百の情報窃取パッケージが仕掛けられ、そのダウンロード数は約 75,000回を数えるという。このキャンペーンについては、4月上旬から Checkmarx の Supply Chain Security チームのアナリストたちが監視しており、標的となったシステムから機密データを盗み出すためのコードを取り込んだ、272種類のパッケージが発見されている。最初に確認されたときと比べて、この種の攻撃は大幅に進化しており、さらに巧妙になった難読化レイヤと検出回避の技術が、悪意のパッケージ作成者たちにより実装されているという。
Continue reading “Python に潜むマルウェア:272種類のパッケージと 75,000回のダウンロード”GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions
2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。
Continue reading “GitHub における偽装 Dependabot:悪意のコードをコミットさせる新たなキャンペーン”Researchers Release Details of New RCE Exploit Chain for SharePoint
2023/09/28 DarkReading — Microsoft SharePoint Server に存在する、2つの深刻な脆弱性を発見した研究者たちが、それらを連鎖させることで、影響を受けるサーバ上でのリモート・コード実行を可能にする、エクスプロイトの詳細を公開した。それとは別に、今週には別のセキュリティ研究者が、SharePoint の脆弱性に関する PoC エクスプロイトコードを GitHub に投稿し、この欠陥を悪用して脆弱なシステムの管理者権限を取得する方法を示している。
Continue reading “SharePoint の脆弱性 CVE-2023-29357/CVE-2023-24955:PoC エクスプロイトが登場”GitHub passkeys generally available for passwordless sign-ins
2023/09/21 BleepingComputer −−− 9月21日に GitHub が公開した Passkeys により、すべてのユーザーのパスワードレス・ログインが、このプラットフォーム全体で利用可能となり、フィッシングからアカウントが保護されるようになる。Passkeys は、コンピューター/タブレット/スマートフォンなどのデバイスにリンクされ、フィッシング攻撃からの保護や、不正アクセスの阻止を提供することで、データ漏洩のリスクを低減するという重要な役割を担っている。また、Passkeys は、暗証番号や指紋/顔認証などの生体認証といった、個人識別方法を通じて、アプリやオンライン・サービスへのアクセスを容易にする。
Continue reading “GitHub の Passkeys サポートが始動:Apple/Google/Microsoft と協調”Fake WinRAR proof-of-concept exploit drops VenomRAT malware
2023/09/20 BleepingComputer −−− 最近に修正された WinRAR の脆弱性に対する偽 PoC エクスプロイトが、あるハッカーにより GitHub で広めており、VenomRAT マルウェアのダウンローダーに感染させようとしている。この偽 PoC エクスプロイトは、Palo Alto Networks の Unit 42 チームの研究者たちにより発見され、2023年8月21日の時点で攻撃者により、悪意のコードが GitHub にアップロードされたことが報告されている。この攻撃は、すでに阻止されているが、 GitHub から調達した PoC の、安全性を確認せずに実行することのリスクが、改めて浮き彫りにされている。
Continue reading “WinRAR 用の 偽 PoC エクスプロイト:PowerShell を介して VenomRAT を展開”Critical GitHub Vulnerability Exposes 4,000+ Repositories to Repojacking Attack
2023/09/12 TheHackerNews — GitHub に新たな脆弱性が発見され、何千ものリポジトリがレポジャッキング攻撃の危険にさらされている可能性があると判明した。Checkmarx のセキュリティ研究者である Elad Rapoport は、「GitHub のリポジトリ作成とユーザー名の変更操作における、競合状態を悪用できる。この脆弱性の悪用に成功した攻撃者は、Go/PHP/Swift などによる 4,000 以上のコード・パッケージや GitHub Actions を乗っ取ることが可能となり、このオープンソース・コミュニティに深刻な影響が生じる恐れがある。2023年3月1日の情報公開に続いて、2023年9月1日付けで GitHub は、この問題に対処した」と、The Hacker News と共有した技術レポートの中で述べている。
Continue reading “GitHub の深刻な脆弱性が FIX:ユーザー名変更にともなうレポハイジャックの問題”Notepad++ 8.5.7 released with fixes for four security vulnerabilities
2023/09/08 BleepingComputer — Notepad++ のバージョン 8.5.7 がリリースされ、バッファ・オーバーフローに起因する、複数のゼロデイ脆弱性が修正された。そのうちの 1 つは、ユーザーを騙して特別に細工されたファイルを開かせることで、任意のコード実行に至らせる可能性があると指摘されている。Notepad++ は、多くのプログラミング言語をサポートし、プラグインによる拡張が可能であり、生産性を向上させるためのマルチタブ編集やシンタックス・ハイライトなどの機能を提供する、人気の無償ソースコード・エディタだ。
Continue reading “Notepad++ 8.5.7 がリリース:深刻な脆弱性 CVE-2023-40031 などに対応”Researchers Discover Critical Vulnerability in PHPFusion CMS
2023/09/06 DarkReading — PHPFusion に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この人気のオープンソース CMS (Content Management System) には、2つの脆弱性があるという。先日に Synopsys の研究者たちが発見した、1つ目の脆弱性 CVE-2023-2453 は、認証されたローカル・ファイル・インクルージョンの欠陥である。この脆弱性の悪用に成功した攻撃者が、悪意を持って細工した “.php” ファイルをターゲット・システム上の既知のパスにアップロードすると、リモート・コード実行が可能になるという。2つ目の脆弱性 CVE-2023-4480 は、その悪用に成功した攻撃者に対して、システム上のファイルの Read/Write を許すものであり、深刻度は Medium とされている。
Continue reading “PHPFusion CMS にゼロデイ脆弱性 CVE-2023-2453 など:現状ではパッチが無い!”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”Popular open source project Moq criticized for quietly collecting data
2023/08/09 BleepingComputer — オープンソース・プロジェクト Moq だが、最新リリースにおいて物議を醸す依存性が秘密裏に含まれていることで、厳しい批判を浴びている。NuGet ソフトウェア・レジストリで配布されている Moq は、1日に10万回以上もダウンロードされる存在であり、トータルでは 4億7600万回以上もダウンロードされている。そして、今週にリリースされた Moq の 4.20.0 には、SponsorLink という別のプロジェクトがひっそりと取り込まれていた。
Continue reading “Moq OSS プロジェクトでの出来事:営利を目的とした依存性の利用という問題”Fake VMware vConnector package on PyPI targets IT pros
2023/08/04 BleepingComputer — VMware vSphere のコネクタ・モジュール vConnector を模倣する悪質なパッケージが、PyPI (Python Package Index) に VMConnect という名前でアップロードされている。VMware vSphere は仮想化ツール群であり、vConnector は開発者やシステム管理者が使用するインターフェース Python モジュールであり、全体的な PyPI 経由のダウンロード数は、毎月およそ 40,000件にも達するという。Sonatype の研究者であり BleepingComputer のレポーターでもある Ax Sharma によると、この悪意のパッケージは、2023年7月28日に PyPI にアップロードされた後に、2023年8月1日に削除されるまでに、237 件ほどダウンロードされたという。
Continue reading “VMware vConnector などを装う悪意の PyPI パッケージ:開発者をターゲットに展開”North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder
2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet/TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。
Continue reading “JumpCloud ハッキング:北朝鮮の RGB に属する脅威アクターが関与か?”GitHub warns of Lazarus hackers targeting devs with malicious projects
2023/07/20 BleepingComputer — GitHub が警告しているソーシャル・エンジニアリング・キャンペーンは、ブロックチェーン/暗号通貨/オンライン・ギャンブル/サイバー・セキュリティなどの分野の、開発者のアカウントを標的とし、彼らのデバイスにマルウェアに感染させるものだ。このキャンペーンは、北朝鮮国家支援のハッキング・グループ Lazarus と関連づけられている。Microsoft が Jade Sleet と呼び、CISA が TraderTraitor と呼ぶ、この脅威アクターの手口を詳述したレポートは、2022年に米国政府から発表されている。このハッキング・グループは、暗号通貨企業やサイバー・セキュリティ研究者たちを標的とした、サイバースパイ活動や暗号通貨の窃取を行ってきた。
Continue reading “Lazarus が開発者を狙っている:悪意の GitHub プロジェクトに御用心”Half of AI Open Source Projects Reference Buggy Packages
2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52%) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か5ヶ月で、”多様な問題領域”にまたがる 900件の npm/PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。
Continue reading “AI と Open Source の関係:半数以上のプロジェクトで脆弱なパッケージが使用されている”Fake Linux vulnerability exploit drops data-stealing malware
2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。
Continue reading “Linux の偽 PoC エクスプロイトに御用心:GitHub を悪用してマルウェアを配布”GitHub goes passwordless, announces passkeys beta preview
2023/07/12 BleepingComputer — 7月12日に GitHub は、パブリック・ベータ版でパスワードレス認証のサポートを導入し、ユーザーがセキュリティ・キーから Passkeys にアップグレードできるようにしたと発表した。この Passkeys は、コンピュータ/タブレット/スマートフォンなどの個々のデバイスに紐づけられ、クレデンシャルの盗難や漏えいの試みを防止する。それによりフィッシング攻撃からユーザーを保護し、データ侵害の可能性を最小限に抑える上で、重要な役割を果たす。
Continue reading “GitHub がパスワードレス認証を導入:Passkeys のベータ版が公開されている”Hackers Exploit Windows Policy Loophole to Forge Kernel-Mode Driver Signatures
2023/07/11 TheHackerNews — Microsoft Windows におけるポリシーの抜け穴が、主に中国語を用いる脅威アクターにより悪用され、カーネルモード・ドライバー署名の偽造に使われていることが確認されていた。Cisco Talos は、「この脅威アクターは、期限切れの証明書で署名された悪意の未検証のドライバーをロードするために、カーネルモード・ドライバーの署名日を変更するという、複数のオープンソース・ツールを活用している。カーネルへのアクセスは、システムへの完全なアクセスを可能にするため深刻な脅威となる」と、The Hacker News と共有した2部構成の包括的なレポートの中で述べている。
Continue reading “Windows Policy の抜け穴を悪用:カーネル・モード・ドライバー偽署名が横行している”New Python tool checks NPM packages for manifest confusion issues
2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発/公開された。先週に、GitHub/NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。
Continue reading “NPM パッケージの Manifest Confusion :チェックのための Python ツールがリリース”NPM ecosystem at risk from “Manifest Confusion” attacks
2023/06/28 BleepingComputer — NPM (Node Package Manager) レジストリには、Manifest Confusion と呼ばれるセキュリティ上の欠陥が存在する。具体的に言うと、それにより、依存関係を用いたマルウェアの埋め込みや、インストール中における悪意のスクリプトの実行などが生じ、パッケージの信頼性が損なわることになる。NPM は、JavaScript プログラミング言語用のパッケージ・マネージャであり、広く使用されている Node.js のデフォルト環境である。このパッケージ・マネージャーは、npmjs.com に置かれた npm registry データベースにホストされている、ソフトウェア・パッケージのインストール/アップグレード/コンフィグレーションを、プロジェクト・オーナーが自動化できるよう支援するものである。
Continue reading “NPM の根幹を揺るがす Manifest Confusion:パッケージ情報が信頼できない理由”Anatsa Android trojan now steals banking info from users in US, UK
2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。
Continue reading “Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている”Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits
2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
Continue reading “GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用”The First Kubernetes Bill of Materials Standard Arrives
2023/06/13 TheNewStack — Software Bill of Materials (SBOM) を使っていない組織であっても、すぐに使うことになるだろう。SBOM は、ビルディング・コードのセキュリティ防御における、不可欠な基盤として捉えられている。Software Package Data Exchange (SPDX) や CycloneDX に加えて、GitHub における依存関係サブミッション・フォーマットなどの、いくつかの SBOM 標準が存在していたが、これまでは Kubernetes 専用の標準が存在しなかった。しかし、Kubernetes Security Operations Center (KSOC) の、Kubernetes Bill of Materials (KBOM) スタンダードが出てきたようだ。
Continue reading “Kubernetes の SBOM:KBOM スタンダードの第一稿が登場”New ChatGPT Attack Technique Spreads Malicious Packages
2023/06/06 InfoSecurity — OpenAI の LLM である ChatGPT を悪用し、開発者たちの環境に悪意のパッケージを拡散させるという、新たなサイバー攻撃手法が登場した。Vulcan Cyber の Voyager18 research team は、先ほど発表したアドバイザリで、この問題について述べている。同社の研究者である Bar Lanyado と、コントリビュータである Ortal Keizman と Yair Divinsky は、「実際には存在しない URL やリファレンスを、さらにはコード・ライブラリや関数を、ChatGPT が生成することが確認されている。このような LLM (Large Language Model) モデルがもたらす幻覚は以前にも報告されていたが、古い学習データの結果として生じている可能性もある」と、技術文書で説明している。
Continue reading “ChatGPT が推奨する OSS パッケージは安全なのか? LLM に悪意を埋め込む PoC が公開”Dark Pink APT Group Expands Tooling and Targets
2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける1件を含む、全体で5件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。
Continue reading “Dark Pink がツールを拡充しターゲットを拡大:ベルギーへの攻撃も成功させている”Exploit released for RCE flaw in popular ReportLab PDF library
2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。
Continue reading “Python ReportLab PDF Lib の深刻な脆弱性:悪意の HTML を読ませるだけでコード実行”PyPI announces mandatory use of 2FA for all software publishers
2023/05/28 BleepingComputer — Python Package Index (PyPI) が発表したのは、同プラットフォーム上でプロジェクトを管理する全てのアカウントに対して、2023年内に二要素認証 (2FA) をオンにすることの義務付けである。PyPI とは、プログラミング言語 Python で作成されたパッケージのための、ソフトウェア・リポジトリのことである。このインデックスには、20万個のパッケージが登録されており、開発者は各種プロジェクトの要件を満たす既存のパッケージを、ここで見つけることにより、時間と労力を節約することが可能となる。
Continue reading “PyPI による 2FA 義務化のアナウンスメント:すべてのアカウントで年末までに対応”The Rising Threat of Secrets Sprawl and the Need for Action
2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模の レポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。
Continue reading “シークレットが氾濫する GitHub の世界:どのように緩和していくべきなのか – Git Guardian 提案”PyPI temporarily pauses new users, projects amid high volume of malware
2023/05/20 BleepingComputer — オープンソース Python パッケージの、公式サードパーティ登録機関である PyPI において、新規ユーザーのサインアップと新規プロジェクトのアップロードが一時的に停止された。PyPI の管理者は、悪意のユーザーやパッケージが大量に流入し、レジストリの維持が困難になったことで、この措置を講じたようだ。
Continue reading “PyPI の停止について:新規のユーザー登録とプロジェクト作成を一時的に止めます”Once Again, Malware Discovered Hidden in npm
2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ/レジストリに存在する、“nodejs-encrypt-agent” という名前の2つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。
Continue reading “npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア”KeePass Flaw Exposes Master Passwords
2023/05/19 InfoSecurity — パスワード管理ソフトウェアの KeePass 2.X に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プログラムのメモリからマスター・パスワードをダンプすることが可能になる。脆弱性 CVE-2023-32784 は、セキュリティ研究者の Dominik Reichl により発見されたものであり、2023年6月上旬にリリースされる KeePass 2.54 で修正される予定だ。5月18日に Reichl が、この脆弱性を詳述するセキュリティ・レポートを GitHub で公開している。その中で、この脆弱性は、マスター・パスワードがキーボードで入力された場合にのみ悪用され、クリップボードからコピーされた場合には悪用されないことも明らかにされた。
Continue reading “KeePass 2.X の脆弱性 CVE-2023-32784:マスター・パスワードが流出するおそれ”Malicious Microsoft VSCode extensions steal passwords, open remote shells
2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。
Continue reading “Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的”Hackers Using Golang Variant of Cobalt Strike to Target Apple macOS Systems
2023/05/16 TheHackerNews — Golang で実装された Geacon という名の Cobalt Strike 亜種が、Apple macOS システムをターゲットとする脅威アクターたちの注目を集める可能性があるという。VirusTotal に掲載される Geacon ペイロードの数が、この数カ月で増加していることを確認した SentinelOne が調査結果を発表した。セキュリティ研究者である Phil Stokes と Dinesh Devadoss はレポートの中で、「これらのペーロードには、レッドチーム・オペレーションで使用されたものもあると思われるが、本物の悪意あ攻撃の特徴を持つものもある」と述べている。
Continue reading “Cobalt Strike の Golang 亜種が登場:Apple macOS を狙う中国の APT とは?”Toyota: Car location data of 2 million customers exposed for ten years
2023/05/12 BleepingComputer — トヨタ自動車株式会社のクラウド環境において、2013年11月6日〜2023年4月17日の 10年間にわたり、215万人の顧客の自動車位置情報が流出するという、データ侵害があったことが公表された。トヨタが日本のニュース・ルームで発表した内容によると、このデータ侵害の原因は、データベースのミスコンフィグレーションにあり、誰もがパスワードなしでアクセスできるようになったという。
Continue reading “トヨタ自動車のデータ侵害:10年間にわたって 215万人の顧客情報が流出していた”Never leak secrets to your GitHub repositories again
2023/05/10 HelpNetSecurity — GitHub のプッシュ・プロテクション (リポジトリでの機密漏えいを自動的に防ぐためのセキュリティ機能) が、すべてのパブリック・リポジトリの所有者に向けて無料化された。これまでは、GitHub Advanced Security ライセンスを持つ、プライベート・リポジトリの所有者のみが利用可能だった。この機能は、オープンソースの開発者やメンテナが、コードのセキュリティを積極的に確保することを目的としている。
Continue reading “GitHub のプッシュ・プロテクション:すべてのパブリック・リポジトリで無料化”ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility
2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ/バージョン/コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。
Continue reading “SBOM エコシステムを CISA が推進:OSS の可視性を高めていく – ETIC 2023”PrestaShop fixes bug that lets any backend user delete databases
2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込/更新/削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner/Administrator/Sales Representative/Customer Support Agent/Order Processor/Data Entry Staff などとなる。
Continue reading “PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション”GitHub now allows enabling private vulnerability reporting at scale
2023/04/22 BleepingComputer — GitHub の発表は、プライベート脆弱性レポートを誰もが利用できるようになり、組織に属する全リポジトリで大規模に有効化することも可能になったというものだ。この機能を有効化すると、専用のコミュニケーション・チャネルを使用するセキュリティ研究者たちは、誤って脆弱性の詳細を漏らすことなく、オープンソース・プロジェクトのメンテナに対して、セキュリティ問題を非公開で開示することが可能になる。GitHub の Eric Tooley と Kate Catlin は、「研究者やメンテナが、公開リポジトリ上の脆弱性を報告し、修正することを容易にする、プライベートなコラボレーション・チャネル」だと述べている。
Continue reading “GitHub の新機能:プライベートな脆弱性レポートを安全に共有できるようになった”Cloud Security Alerts Take Six Days to Resolve
2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) /業界/国々にまたがる組織に配備された数万個のセンサーや、GitHub/NVD (National Vulnerability Database) などの公開ソースを調査した。
Continue reading “クラウド・セキュリティ警告の解決には約6日が必要:OSS への依存が要因 – Palo Alto 調査”Takedown of GitHub Repositories Disrupts RedLine Malware Operations
2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。
Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”Google delivers secure open source software packages
2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Continue reading “Google が発表した Assured OSS サービス:Java/Python エコシステムからサポートを開始”Researchers Uncover 7000 Malicious Open Source Packages
2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを3月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。
Continue reading “悪意のオープンソース・パッケージが約 7,000 個も発見された – Sonatype 調査”
IoT OT Security News 
You must be logged in to post a comment.