Nissan North America にデータ侵害が発生:17,998人の顧客データが流出

Nissan North America data breach caused by vendor-exposed database

2023/01/17 BleepingComputer — Nissan North America は、サードパーティ・プロバイダーにおける情報漏えいを介して、顧客情報の流出が発生したとする通知を開始している。このセキュリティ・インシデントは、2023年1月16日 (月) にメイン州司法長官事務所に報告されたものであり、17,998人の顧客が侵害の影響を受けたことを、Nissan は明らかにしている。Nissan による通知には、2022年6月21日にソフトウェア開発ベンダーの1社から、データ侵害の通知を受けたと記されている。

Continue reading “Nissan North America にデータ侵害が発生:17,998人の顧客データが流出”

PyPI に悪意の3つのパッケージ:数日で 500件以上のダウンロードにいたる

Malicious ‘Lolip0p’ PyPi packages install info-stealing malware

2023/01/16 BleepingComputer — ある脅威アクターが、PyPI (Python Package Index) リポジトリにアップロードした3つの悪意のパッケージには、開発者たちのシステムに情報窃取マルウェアをドロップするコードが搭載されている。Fortinet が発見した悪意のパッケージは、その全てが 2023年1月7日〜12日の間に、”Lolip0p” という作者によりにアップロードされたものだ。それらの名称は、colorslib/httpslib/libhttps であり、すでに PyPI からは削除されている。

Continue reading “PyPI に悪意の3つのパッケージ:数日で 500件以上のダウンロードにいたる”

CircleCI のデータ侵害:セッションクッキーが窃取され 2FA が突破された

Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident

2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて 2FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。

Continue reading “CircleCI のデータ侵害:セッションクッキーが窃取され 2FA が突破された”

GitHub に追加された脆弱性スキャン:1.2k のリポジトリで2万件の脆弱性を発見

GitHub makes it easier to scan your code for vulnerabilities

2023/01/09 BleepingComputer — GitHub が新たに導入したオプションは、”default setup” と呼ばれるリポジトリのコード・スキャンを設定するものであり、開発者が数回クリックするだけで自動的にコードがスキャンされるという。GitHub のコード・スキャンを支える CodeQL コード解析エンジンは、多くの言語とコンパイラをサポートしているが、この新しいオプションは Python/JavaScript/Rubyのリポジトリに対してのみ表示される。Product Marketing Manager である Walker Chabbott によると、GitHub は今後6ヶ月間において、より多くの言語へのサポート拡大に取り組んでいくとのことだ。

Continue reading “GitHub に追加された脆弱性スキャン:1.2k のリポジトリで2万件の脆弱性を発見”

PyPI に悪意のパッケージが登場:CloudFlare Tunnel を悪用するトロイの木馬

Malicious PyPi packages create CloudFlare Tunnels to bypass firewalls

2023/01/07 BleepingComputer — PyPI (Python Package Index) 上の6つの悪意のパッケージが Cloudflare Tunnel を悪用し、リモート・アクセスに対するファイアウォール制限をバイパスしている間に、InfoStealer/RAT (Remote Access Trojan) 機能を備えたマルウェアをインストールしていることが発見された。これらの悪意のパッケージは、ブラウザーに保存されている機密情報の窃取/キーロガーを用いた入力情報の窃取に加えて、シェルコマンドの実行などを試みる。この6つのパッケージを発見したのは、新しいキャンペーンについて PyPI を注視している Phylum Research Team である。

Continue reading “PyPI に悪意のパッケージが登場:CloudFlare Tunnel を悪用するトロイの木馬”

Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?

VSCode Marketplace can be abused to host malicious extensions

2023/01/06 BleepingComputer — 悪意の Visual Studio Code エクステンションを、VSCode Marketplace に驚くほど簡単にアップロードできることを、そして、この弱点を脅威アクターたちが、すでに悪用している兆候を、研究者たちは発見した。Visual Studio Code (VSC) とは、Microsoft が公開しているソースコード・エディタであり、世界中のプロフェッショナル・ソフトウェア開発者の約 70%が使用しているものだ。Microsoft は、VSCode Marketplace とという名の、IDE 用のエクステンション・マーケットを運営することで、アプリ機能の拡張や、多様なカスタマイズ・オプションをアドオンとして提供している。

Continue reading “Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?”

Slack の GitHub コード・リポジトリで侵害が発生:従業員トークンの窃取が原因

Slack’s private GitHub code repositories stolen over holidays

2023/01/05 BleepingComputer — 年末年始の休暇中に、Slack の GitHub プライベート・コード・リポジトリの一部に影響を与える、セキュリティ・インシデントが発生した。Salesforce が所有する IM アプリである Slack は、世界中の職場やデジタル・コミュニティで、推定 1800万人のユーザーに利用され、絶大な人気を誇っている。BleepingComputer は、2022年12月31日に Slack が発行したセキュリティ・インシデント通知を目にした。このインシデントでは、脅威アクターが限られた数の Slack 従業員トークンを盗み、Slack の外部でホストされている GitHub リポジトリにアクセスしたという。

Continue reading “Slack の GitHub コード・リポジトリで侵害が発生:従業員トークンの窃取が原因”

Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント

Why Attackers Target GitHub, and How You Can Secure It

2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。

Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”

2023年以降の Internet AppSec:依然として脆弱であり継続的な対策が必要

Internet AppSec Remains Abysmal & Requires Sustained Action in 2023

2022/12/27 DarkReading — 防御可能なインターネットを構築できるのか? 2023年におけるインターネットとクラウド・アプリケーションのセキュリティを向上させるために、より良い対策を講じる必要があると、専門家たちは指摘している。2022年の初めには、多くのアプリケーションで広く使われている、Log4j ライブラリというコンポーネントに存在する深刻な脆弱性が発見され、それを緩和するために企業が奔走したのは有名な話である。

Continue reading “2023年以降の Internet AppSec:依然として脆弱であり継続的な対策が必要”

Okta の GitHub リポジトリで侵害が発生:3月の Lapsus$ との関連性は不明

Okta’s source code stolen after GitHub repositories hacked

2022/12/21 BleepingComputer — 今月のことだが、認証サービスおよび IAM (Identity and Access Management) ソリューションの大手プロバイダーである Okta は、同社のプライベート GitHub リポジトリがハッキングされたことを発表した。Okta から送信された機密のメール通知によると、このセキュリティ・インシデントにおいて、脅威アクターが Okta のソースコードを盗み出したという。

Continue reading “Okta の GitHub リポジトリで侵害が発生:3月の Lapsus$ との関連性は不明”

PyPI に W4SP Stealer:大量の亜種が出回り 2500回もダウンロードされた

Hackers bombard PyPi platform with information-stealing malware

2022/12/20 BleepingComputer — Python パッケージ・リポジトリである PyPI に、情報窃取マルウェアを取り込んだ悪意のパッケージが相次いでドロップされ、ソフトウェア開発者のデータが盗み出されている。このキャンペーンでドロップされたマルウェアは、オープンソース W4SP Stealer のクローンであり、PyPI 上で 2022年11月に広まったマルウェア感染の原因となったものでもある。それ以来、W4SP をドロップする 31個のパッケージが、PyPI リポジトリから削除されてはいるが、このマルウェアの運営者は、マルウェアを再導入するための新たな方法を模索し続けているようだ。

Continue reading “PyPI に W4SP Stealer:大量の亜種が出回り 2500回もダウンロードされた”

GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応

GitHub to require all users to enable 2FA by the end of 2023

2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。

Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”

Amazon ECR リポジトリの欠陥を修正:非文書化 API を介した侵害を研究者が証明

Amazon ECR Public Gallery flaw could have wiped or poisoned any image

2022/12/13 BleepingComputer — Amazon ECR (Elastic Container Registry) Public Gallery の深刻なセキュリティ欠陥が生じている。その損害に成功した攻撃者により、任意のコンテナ・イメージの削除や、他の AWS アカウントのイメージへの悪意のコード・インジェクションなどが可能だった。Amazon ECR Public Gallery とは、Nginx/EKS Distro/Amazon Linux/CloudWatch Agent/Datadog Agent などの、各種のアプリケーションや Linux ディストリビューションを、直ちに共有/使用するためのコンテナ・イメージのパブリック・リポジトリである。

Continue reading “Amazon ECR リポジトリの欠陥を修正:非文書化 API を介した侵害を研究者が証明”

SBOM 要件の延期を米議会に提出:防衛産業の団体が4つの理由を詳述

Industry Coalition Urges Congress to Hold off on SBOMs Requirements for Defense Contractors

2022/12/02 infoSecurity — サイバー・セキュリティ業界団体の連合は米国議会に対して、防衛請負業者に対する Software Bill of Materials (SBOM) 要件を延期するよう求める、公開書簡を発表した。この書簡は、National Defense Authorization Act for Fiscal Year 2023 の第 4543条に関するものであり、米国防総省が請負業者に対して SBOM 要件を定めるよう求めるものだ。

Continue reading “SBOM 要件の延期を米議会に提出:防衛産業の団体が4つの理由を詳述”

npm 悪意のライブラリ侵入経路が判明:プレ・リリース・バージョンに要注意

Researchers Find a Way Malicious NPM Libraries Can Evade Vulnerability Detection

2022/11/30 TheHackerNews — サイバー・セキュリティ企業である JFrog の最新調査によると、npm エコシステムを標的とするマルウェアは、npm Command Line Interface (CLI) ツールの “unexpected behavior” を悪用することで。セキュリティ・チェックを回避できることが判明した。

Continue reading “npm 悪意のライブラリ侵入経路が判明:プレ・リリース・バージョンに要注意”

CISA/NSA/ODNI のサプライチェーン・ガイダンス:最終章の Customer 編を発行

CISA, NSA, ODNI Publish Software Supply Chain Guidelines For Customers

2022/11/18 InfoSecurity — 11月17日に米国の US Cybersecurity and Infrastructure Security Agency (CISA) は、ソフトウェア・サプライチェーンの安全確保に関する3部作の最終章を発表した。2022年8月の Developer 向けのガイダンスと、2022年10月の Supplier 向けのガイダンスに続くものであり、調達/展開の段階におけるソフトウェアの完全性と安全性を確保するための、Customer 向けの推奨事項を示している。このドキュメントは、National Security Agency (NSA) と Office of the Director of National Intelligence (ODNI) の協力のもと発行されている。

Continue reading “CISA/NSA/ODNI のサプライチェーン・ガイダンス:最終章の Customer 編を発行”

PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽

Researchers Uncover PyPI Package Hiding Malicious Code Behind Image File

2022/11/10 TheHackerNews — PyPI (Python Package Index) が提供されるパッケージの中に、ステガノグラフィを用いて画像ファイル内に、悪意のコードを隠すものが発見された。イスラエルのサイバー・セキュリティ企業 Check Point の説明によると、そのパッケージは apicolor という名前で提供される、REST API 用の Core lib とのことだ。2022年10月31日に apicolor は、Python のサードパーティ・リポジトリにアップロードされたが、その後に削除されている。

Continue reading “PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽”

Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出

130 Dropbox code repos plundered after successful phishing attack

2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。

Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”

PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける

Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware

2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。

Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”

Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う

Why Are Zombie APIs and Shadow APIs So Scary?

2022/11/01 DarkReading — API に関連するビジネス価値を、企業が最大化しようとするにつれ、API の数が急増している。DX の浸透や、マイクロサービスによるアプリの近代化、API ファーストのアプリ設計、迅速なソフトウェア・デプロイメントなどが、企業が作成/使用する API 数を急速に増加させてきた。

Continue reading “Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う”

GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?

GitHub Bug Exposed Repositories to Hijacking

2022/10/27 InfoSecurity — セキュリティ研究者が新たに発見した GitHub の欠陥は、攻撃に成功した攻撃者がリポジトリを制御し、関連するアプリやコードにマルウェアを拡散する可能があるものだ。現時点において GitHub は、”popular repository namespace retirement” 機能のバグを修正しているが、将来において同じツールが、脅威者の標的となる可能性があると Checkmarx は警告している。

Continue reading “GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?”

OSS サプライチェーンの深刻な問題:3年間で 742% 急増した悪意のパッケージ

Software Supply Chain Attacks Soar 742% in Three Years

2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。

Continue reading “OSS サプライチェーンの深刻な問題:3年間で 742% 急増した悪意のパッケージ”

VMware の OSS 調査:新たな懸念はサプライチェーンの効率と安全性の不足

New security concerns for the open-source software supply chain

2022/10/17 HelpNetSecurity — VMware によると、オープンソース・ソフトウェアは、あらゆる規模の企業におけるソフトウェア・サプライチェーンの重要な要素となっている。しかし、オープンソース・ソフトウェアのサプライチェーンには、新たなセキュリティ上の懸念が存在するため、パッケージング・セキュリティに対する進化したアプローチが求められている。

Continue reading “VMware の OSS 調査:新たな懸念はサプライチェーンの効率と安全性の不足”

Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた

Toyota discloses data leak after access key exposed on GitHub

2022/10/10 BleepingComputer — トヨタ自動車株式会社は、約5年間にわたり GitHub 上でアクセス・キーが、誤って公開されていたことが判明したことで、顧客の個人情報が流出した可能性があるとして、警告を発している。トヨタ T-Connect は、トヨタ車のオーナーのスマートフォンと、車両のインフォテインメント・システムを連携させ、電話/音楽/ナビ/通知/走行データ/エンジン状態/燃費などの情報を活用するための、公式コネクティビティ・アプリである。

Continue reading “Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた”

LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明

LofyGang Group Linked to Recent Software Supply Chain Attacks

2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。

Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”

PHP Packagist の深刻な脆弱性 CVE-2022-24828:サプライチェーン攻撃にいたる恐れ

Critical Packagist Vulnerability Opened Door for PHP Supply Chain Attack

2022/10/04 SecurityWeek — 10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表した。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるという。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所だ。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されている。

Continue reading “PHP Packagist の深刻な脆弱性 CVE-2022-24828:サプライチェーン攻撃にいたる恐れ”

CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化

CISA Directive Improves Asset Visibility, Vulnerability Detection on Federal Networks

2022/10/04 InfoSecurity — CISA は、連邦政府のネットワークにおける、IT 資産の可視性/脆弱性検出を改善するための、新たな拘束的運用指令 (BOD:Binding Operational Directive) を発表した。この新指令 BOD 23-01 は、2023年4月3日に発効され、また、連邦民間行政機関 (FCEB) に対して、IT 資産の発見を7日ごとに自動を行うよう求めるものとなる。BOD 23-01 の文書には、「この課題を達成するために、数多くの方法や技術を用いることが可能だが、最低限でカバーすべき範囲は、それぞれの機関が用いる IPv4 空間全体となる」と記されている。

Continue reading “CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化”

Auth0 警告:2020年以前のコード・リポジトリが流出したが Okta には影響なし

Auth0 warns that some source code repos may have been stolen

2022/09/28 BleepingComputer — 認証サービスプロバイダーであり、Okta の子会社でもある Auth0 は、同社のコード・リポジトリの一部に関わる、”Security Event” と呼ぶものを公表した。Auth0 の認証プラットフォームは、AMD/Siemens/Pfizer/Mazda/Subaru などを含む、30カ国 2000社以上の企業ユーザーにより、毎日 4200万回以上のログインの認証に使用されている。

Continue reading “Auth0 警告:2020年以前のコード・リポジトリが流出したが Okta には影響なし”

Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?

Malicious NPM Package Caught Mimicking Material Tailwind CSS Package

2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。

Continue reading “Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?”

オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機

Open Source Repository Attacks Soar 700% in Three Years

2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。

Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”

企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明

Over 10% of Enterprise IT Assets Found Missing Endpoint Protection

2022/09/08 infosecurity — 企業における IT 資産の 10%以上がエンドポイント保護を欠いており、約5%が企業のパッチ管理ソリューションの非対象であることが判明した。これらの数字は Sevco Security の最新の調査によるもので、同社は State of the Cybersecurity Attack Surface レポートとしてまとめている。

Continue reading “企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明”

Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される

Cisco won’t fix authentication bypass zero-day in EoL routers

2022/09/07 BleepingComputer — Cisco の新たな発表は、中小企業向け VPN ルーターに影響をおよぼす認証バイパスの脆弱性について、デバイスが製造終了 (EoL) に達したことを理由として、パッチを適用しないというものである。このゼロデイ脆弱性 CVE-2022-20923 は、パスワード検証アルゴリズムの欠陥に起因するものであり、IPSec VPN サーバー機能が有効化されている場合に、細工された認証情報も用いる攻撃者に対して、脆弱なデバイス上の VPN にログインを許すというものである。

Continue reading “Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される”

SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功

Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access

2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。 

Continue reading “SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功”

PyPI パッケージ・メンテナを攻撃:巧妙なフィッシングでプロジェクトを乗っ取る

PyPI packages hijacked after developers fall for phishing emails

2022/08/25 BleepingComputer — 昨日に検出されたフィッシング・キャンペーンは、PyPI レジストリで公開される Python パッケージの、メンテナをターゲットにするものだったようだ。Python パッケージである exotel と spam は、マルウェアが混入された数百のパッケージの中の1つであり、フィッシング・メールで騙したメンテナのアカウントへ、攻撃者たちが侵入に成功した結果である。 

Continue reading “PyPI パッケージ・メンテナを攻撃:巧妙なフィッシングでプロジェクトを乗っ取る”

PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮

One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious

2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。

Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”

PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す

Malicious PyPi packages turn Discord into password-stealing malware

2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。

Continue reading “PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す”

RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化

RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers

2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。

Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”

PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ

Malicious PyPi packages aim DDoS attacks at Counter-Strike servers

2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。

Continue reading “PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ”

PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布

A new PyPI Package was found delivering fileless Linux Malware

2022/08/15 SecurityAffairs — Sonatype の研究者たちは、Linux マシンシ・ステムのメモリへ向けて、ファイルレス・クリプトマイナーを投下する、secretslib という新しい PyPI パッケージを発見した。このパッケージは自らを、”secrets matching and verification made easy” と表現しており、2020年8月6日以降で、合計 93件のダウンロードを記録している。

Continue reading “PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布”

研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?

Researchers Debut Fresh RCE Vector for Common Google API Tool

2022/08/10 DarkReading — Google SLO Generator の脆弱なバージョンを悪用し、リモートコードの実行 (RCE) を容易にするという、新たな攻撃ベクターが発見された。この脆弱性の悪用に成功した攻撃者は、システムにアクセスし、あたかもネットワーク内の信頼できるソースから来たかのように、悪意のコードを展開できるという。

Continue reading “研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?”

PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取

10 Credential Stealing Python Libraries Found on PyPI Repository

2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。

Continue reading “PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取”

GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心

35,000 code repos not hacked—but clones flood GitHub to serve malware

2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。

Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”

GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加

GitHub introduces 2FA and quality of life improvements for npm

2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。

Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”

金融サービスとサイバー攻撃:拡大する攻撃対象を保護する4つのステップとは?

4 Steps Financial Industry Can Take to Cope With Their Growing Attack Surface

2022/07/26 TheHackerNews — 金融サービス業界は、常にテクノロジー導入の最前線にあるが、2020年のパンデミックにより、モバイルバンキング・アプリ/チャットベースの顧客サービスなどの、デジタルツールの普及が加速した。Adobe の 2022 FIS Trends Report によると、調査対象となった金融サービス/保険会社の半数以上が、2020年上半期のデジタル/モバイルビジター数が著しく増加したという。

Continue reading “金融サービスとサイバー攻撃:拡大する攻撃対象を保護する4つのステップとは?”

Detectree インシデント分析:可視化のための OSSツールでアラート疲労を軽減

Detectree: Open-source tool simplifies data analysis for blue teams, reduces alert fatigue

2022/07/22 HelpNetSecurity — セキュリティ・インシデントが止まらない中、悪意の活動と影響の特定に、数多くの企業が苦戦している。攻撃を食い止め、被害を最小限に抑えるための、時間とリソースが浪費されている。そこに、インシデントの可視性を高めることで、企業における損害を緩和する新しいオープンソースツールが登場した。

Continue reading “Detectree インシデント分析:可視化のための OSSツールでアラート疲労を軽減”

Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する

Log4j Software Flaw ‘Endemic,’ New Cyber Safety Panel Says

2022/07/14 SecurityWeek — ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるという。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べている。

Continue reading “Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する”

Android に新規マルウェア Autolycos が登場:Google Play で 300 万インストール!

New Android malware on Google Play installed 3 million times

2022/07/13 BleepingComputer — Google Play ストアで、ユーザーを密かにプレミアム・サービスに加入させる、新しい Android マルウェアが 300万回以上ダウンロードされたことが分かった。Autolycos と名付けられたこのマルウェアは、Evina のセキュリティ研究者 Maxime Ingrao により、少なくとも8つの Android アプリに含まれていることが発見された。この記事の執筆時点で、そのうちの2つが、Google Play ストアでまだ利用可能であることが判明している。

Continue reading “Android に新規マルウェア Autolycos が登場:Google Play で 300 万インストール!”

PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も

PyPI mandates 2FA for critical projects, developer pushes back

2022/07/09 BleepingComputer — 金曜日に、サードパーティのオープンソース Python プロジェクトための、公式リポジトリである Python Package Index (PyPI) は、重要なプロジェクトのメンテナに対して二要素認証 (2FA) を義務付ける計画を発表した。この動きに対して、多くのコミュニティ・メンバーが賞賛したが、ある人気 Python プロジェクトの開発者が、自分のプロジェクトに与えられた Critical ステータスを無効にするために、PyPI からコードを削除して再公開することになった。 

Continue reading “PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も”

NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード

NPM supply-chain attack impacts hundreds of websites and apps

2022/07/05 BleepingComputer — NPM のサプライチェーン攻撃は、2021年12月からたどる必要がある。そのとき、難読化された Javascript コードを含む、数十の悪意の NPMモジュールが用いられ、数百の下流にあるデスクトップ・アプリケーションと Web サイトが危険にさらされた。

Continue reading “NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード”

AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ

Multiple Backdoored Python Libraries Caught Stealing AWS Secrets and Keys

2022/06/24 TheHackerNews — 研究者たちは、一般公開されたエンドポイントへ向けて、AWS の認証情報/環境変数を流出させるよう設計された悪意の Python パッケージを、サードパーティの公式ソフトウェア・リポジトリで数多く発見した。Sonatype のセキュリティ研究者 Ax Sharma によると、それらのパッケージには loglib-modules/pyg-modules/pygrata/pygrata-utils/hkg-sol-utils が含まれていたが、現在では一連のエンドポイントも含めて削除されているとのことだ。彼は、「これらのパッケージのいくつかは、ユーザーの機密情報を窃取/流出させるコードを含んでいるか、その機能をもつ依存関係を使用している」と述べている。

Continue reading “AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ”