Hackers Breach Toptal GitHub, Publish 10 Malicious npm Packages With 5,000 Downloads
2025/07/28 TheHackerNews — Toptal の GitHub 組織アカウントに侵入した正体不明の脅威アクターが、そのアクセス権を悪用して 10個の悪意のパッケージを npm レジストリに公開するという、ソフトウェア・サプライチェーン攻撃の最新事例が紹介されている。先週に Socket が公開したレポートによると、これらのパッケージに隠された悪意のコードにより、GitHub の認証トークン窃取や、被害者システムの破壊などが引き起こされるという。それに加えて、この組織に関連する73個のリポジトリが公開されている。
Continue reading “Toptal の GitHub が侵害された:悪意の npm パッケージが 5,000 回もダウンロード”NPM ecosystem at risk from “Manifest Confusion” attacks
2023/06/28 BleepingComputer — NPM (Node Package Manager) レジストリには、Manifest Confusion と呼ばれるセキュリティ上の欠陥が存在する。具体的に言うと、それにより、依存関係を用いたマルウェアの埋め込みや、インストール中における悪意のスクリプトの実行などが生じ、パッケージの信頼性が損なわることになる。NPM は、JavaScript プログラミング言語用のパッケージ・マネージャであり、広く使用されている Node.js のデフォルト環境である。このパッケージ・マネージャーは、npmjs.com に置かれた npm registry データベースにホストされている、ソフトウェア・パッケージのインストール/アップグレード/コンフィグレーションを、プロジェクト・オーナーが自動化できるよう支援するものである。
Continue reading “NPM の根幹を揺るがす Manifest Confusion:パッケージ情報が信頼できない理由”A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages
2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。
Continue reading “悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム”Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion
2022/03/17 TheHackerNews — ロシアのウクライナ侵攻に抗議するために、人気の NPM パッケージ node-ipc の開発者が新バージョンを出荷したが、そのことで、オープンソースとソフトウェア・サプライチェーンにおけるセキュリティへの懸念が高まっている。この変更は、ライブラリの Ver 10.1.1/10.1.2 に影響するものだが、そのメンテナである RIAEvangelist による望ましくない動作を導入し、ロシアおよびベラルーシの IP アドレスを持つユーザーをターゲットにして、任意のファイルのコンテンツを消去し、ハートの絵文字に置き換えるものになっている。
Continue reading “人気の NPM Package が抗議活動:ファイル破壊などでロシア/ベラルーシを狙い撃ち”
IoT OT Security News 