NVIDIA Merlin Flaw Enables Remote Code Execution with Root Access
2025/09/25 gbhackers — NVIDIA の Merlin Transformers4Rec ライブラリに存在する、深刻な脆弱性を悪用する攻撃者は、ルート権限でリモート・コード実行を可能にすることが、Trend Micro の Zero Day Initiative (ZDI) 脅威ハンティングチームにより明らかにされた。この脆弱性 CVE-2025-23298 は、モデルのチェックポイント読み込み機能における安全ではないデシリアライズ処理に起因するものであり、Python の pickle シリアライゼーションに依存する機械学習フレームワークにおける、持続的なセキュリティ課題を浮き彫りにしている。
Continue reading “NVIDIA Merlin の脆弱性 CVE-2025-23298 が FIX:ルート権限でのリモート・コード実行の可能性”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”Researchers Uncover Obfuscated Malicious Code in PyPI Python Packages
2023/02/10 TheHackerNews — Python Package Index (PyPI) に侵入した4種類の悪意のパッケージが、マルウェア投下/netstat ユーティリティ削除/SSH authorized_keys ファイルの操作などの、数々の悪質なアクションを実行することが確認されている。問題のパッケージの名称は、aptx/bingchilling2/httops/tkint3rs であり、いずれも削除までの間に、450回ほどダウンロードされている。なお、aptx は Qualcomm の同名オーディオ・コーデックを模倣したものであり、httops と tkint3rs は、それぞれ https と tkinter のタイポスクワッティングである。
Continue reading “PyPI に 悪意の Python パッケージ:すでに 450回もダウンロードされている”
IoT OT Security News 