Hackers Exploit GitHub Notifications to Launch Phishing Attacks
2025/09/23 gbhackers — GitHub の公式通知システムを悪用し、認証情報を窃取するためのペイロードを配信する、新たなフィッシング・キャンペーンが、サイバー・セキュリティ研究者たちにより発見された。つまり、オープンソース・コントリビューターたちが、GitHub の通信チャネルに寄せる信頼を悪用する攻撃者は、従来からのメール・フィルターやソーシャル・エンジニアリング防御を回避できる。
Continue reading “GitHub の公式通知を悪用するフィッシング・キャンペーンを検知:公式を模倣する巧妙なメール”GitHub Introduces npm Security with Stronger Authentication and Trusted Publishing
2025/09/25 gbhackers — 今日のテクノロジーを支えるオープンソース・ソフトウェアにより、世界中の開発者たちは、ツール/ライブラリ/アプリケーションの構築/共有を可能にしている。しかし、イノベーションを促進するオープン性は、それと同時に深刻なセキュリティ課題ももたらす。攻撃者は npm などのパッケージ・レジストリを標的とし、アカウントを侵害して悪意あるコードを挿入する。この状況を受け、GitHub は npm のセキュリティを大幅に刷新し、強力な認証方式/有効期間の短いトークン/信頼できる公開に重点を置くようにした。これらの変更は、オープンソース・コミュニティを保護し、ソフトウェア・サプライチェーンの安全の確保を目的としている。
Continue reading “GitHub が npmセキュリティを大幅に刷新:より強力な認証と信頼できる公開を導入”LastPass: Fake password managers infect Mac users with malware
2025/09/22 BleepingComputer — MacOS ユーザーを標的とし、不正な GitHub リポジトリを通じて人気製品を装う悪質なソフトウェアを配布するキャンペーンについて、LastPass が警告している。具体的に言うと、それらの偽アプリは、Google/Bing などの検索エンジン最適化 (SEO) 戦略で宣伝され、ClickFix 攻撃を通じて Atomic (AMOS) 情報窃取マルウェアを配信している。
Continue reading “LastPass が ClickFix 攻撃を警告:GitHub を介して Mac ユーザー標的の偽ソフトを配布”Hackers Injecting Malicious Code into GitHub Actions Workflows to Steal PyPI Publishing Tokens
2025/09/15 CyberSecurityNews — Python Package Index (PyPI) の公開トークンを盗み出すという広範なキャンペーンの一環として、攻撃者たちは GitHub Actions ワークフローに悪意のコードを挿入した。それにより、一部のトークンが GitHub シークレットから盗まれたが、PyPI 管理者によると、プラットフォーム自体は侵害されておらず、盗まれたトークンが使用された証拠も確認されていないという。
Continue reading “GitHub Actionsワークフローに悪意のコードを注入:PyPI 公開トークン窃取の恐れ”Massive “Shai-Halud” Supply Chain Attack Compromised 477 NPM Packages
2025/09/17 CyberSecurityNews — Shai-Halud と呼ばれる大規模なサプライチェーン攻撃が、npm レジストリを介して JavaScript エコシステムに侵入してきた。CrowdStrike のパッケージなど、合計で 477 個の npm パッケージに仕込まれたのは、認証情報の窃取/ソースコードの流出/開発者マシン上での RCE などを目的とする、ステルス性の高いバックドアおよびトロイの木馬化のモジュールである。
Continue reading “Shai-Halud による大規模サプライチェーン攻撃:477 件の npm パッケージにバックドアとトロイの木馬”Self-replicating worm hits 180+ npm packages in (largely) automated supply chain attack
2025/09/16 HelpNetSecurity — npm レジストリで公開されているパッケージに対し、自己複製のワーム型ペイロードを展開するという、大規模なサプライチェーン攻撃が進行している。このワームは、侵害したパッケージの実行環境から被害者の認証情報を窃取し、その内容を攻撃者が管理する公開 GitHub リポジトリに送信するものであり、Shai-Hulud と呼称されている。そして、窃取した npm 認証トークンを用いて感染と侵害のサイクルを維持し、さらに侵害した GitHub トークンを利用して、非公開リポジトリを公開することが確認されている。
Continue reading “Shai-Hulud という自己複製型のワーム:180 件以上の npm パッケージを侵害”CrowdStrike npm Packages Hit by Supply Chain Attack
2025/09/16 gbhackers — 新たなサプライチェーン攻撃により、crowdstrike-publisher アカウントで管理されている複数の npm パッケージが侵害され、Shai-Halud と呼ばれる攻撃が継続的に展開されている。これらのパッケージを使用している、開発者および組織にとって必要なことは、直ちに対策を講じて認証情報を保護し、不正なコード実行を防ぐことだ。
Continue reading “CrowdStrike の npm パッケージに Shai-Halud サプライチェーン攻撃:認証情報の流出/不正なコード実行”40 npm Packages Compromised in Supply Chain Attack Using bundle.js to Steal Credentials
2025/09/16 TheHackerNews — npm レジストリを標的とする、新たなソフトウェア・サプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。この攻撃は、複数のメンテナーが所有する 40 以上のパッケージに影響を与えている。サプライチェーン・セキュリティ企業 Socket は、「侵害されたバージョンに取り込まれた NpmModule.updatePackage 関数は、パッケージの tarball をダウンロードし、package.json を改変し、ローカル・スクリプト (bundle.js) を挿入し、アーカイブを再パックして再公開するものだ。それにより、下流のパッケージが自動的にトロイの木馬化される」と述べている。
Continue reading “npm の 40 パッケージに侵害が波及:TruffleHog による偵察と感染チェーンのためのコード挿入”New Malvertising Campaign Exploits GitHub Repositories to Distribute Malware
2025/09/12 gbhackers — 正規の GitHub リポジトリの “dangling” コミットを介して無防備なユーザーを狙うという、巧妙なマルバタイジング・キャンペーンが発覚した。この攻撃者は、人気の開発プロジェクトや OSS プロジェクトに、偽造 GitHub Desktop インストーラーのプロモーション・コンテンツを挿入している。正規のクライアントを装うインストーラーをダウンロードすると、バックグラウンドで悪意のペイロードが密かに配信され、ユーザーには気づかれることなく、システムが迅速に侵害される。
Continue reading “GitHub リポジトリの “dangling” コミットが標的:新たなマルバタイジング・キャンペーンが発覚”Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack
2025/09/11 CyberSecurityNews — 8月下旬に表面化した高度な npm サプライチェーン攻撃は、人気の JavaScript ライブラリに悪意のペイロードを挿入し、数千の下流プロジェクトを標的としたものである。当初の報告では、タイポスクワッティング手法の新たな亜種が指摘されていたが、その後の分析で、侵害されたメンテナの認証情報を用いて、バックドア付きモジュールを正規パッケージ名で公開するという、より精巧な攻撃であることが明らかになった。
Continue reading “npm エコシステムを狙ったサプライチェーン攻撃:収益は $200 未満だったが狙いは別のところに?”Hackers Hijack 18 Popular npm Packages Downloaded Over 2 Billion Times Weekly
2025/09/09 gbhackers — 毎週 20億回以上もダウンロードされている、きわめて人気の高い npm パッケージ 18個をハッカーが乗っ取り、暗号通貨のユーザーと開発者を標的とする高度なマルウェアを注入しているという。Aikido のレポートによると、9月8日の早朝にセキュリティ・フィードが警告したのは、chalk/debug/chalk-template/supports-color などの人気パッケージ 18個が迅速に更新され、悪意のコードにより汚染されたことだ。
Continue reading “人気の npm パッケージ 18種類にマルウェア侵害:それらの総ダウンロード数は 20億回/週”2025/09/01 gbhackers — 広く使用されている Nodemailer メール・ライブラリを装い、Windows システム上のデスクトップ仮想通貨ウォレットを秘密裏に乗っ取っていく、悪意の npm パッケージによる高度な仮想通貨窃盗スキームが発覚した。週平均で約 390 万ダウンロードを誇る、正規の Nodemailer ライブラリを装う、悪意のパッケージ “nodejs-smtp” を、Socket の脅威調査チームが特定したのだ。
Continue reading “悪意の “nodejs-smtp” パッケージ:Nodemailer メール・ライブラリを装い仮想通貨ウォレットを侵害”Okta Security Releases Auth0 Event Logs for Proactive Threat Detection
2025/08/21 CyberSecurityNews — Okta が発表したのは、Auth0 顧客のために設計され、プロアクティブな脅威検知を強化する、OSS リポジトリ Auth0 Customer Detection Catalog の提供開始である。このリリースは、ID/Access 管理セキュリティにおける大きな進展を示すものであり、それを利用するセキュリティ・チームは、高度な検知ルールを活用することで、認証インフラ全体で新たな脅威を特定して対応できるようになる。
Continue reading “Okta が Auth0 Customer Detection Catalog の提供を開始:Sigma フォーマットによるプロアクティブな脅威検知”CodeRabbit’s Production Servers RCE Vulnerability Enables Write Access on 1M Repositories
2025/08/20 CyberSecurityNews — CodeRabbit の本番環境インフラで確認された、深刻なリモート・コード実行 (RCE) 脆弱性により、100万以上のコード・リポジトリへの不正アクセスが、プライベート・リポジトリを含むかたちで可能になっていた。このプラットフォームの静的解析ツール統合を悪用する攻撃者は、機密 API 認証情報を窃取し、GitHub App 秘密鍵を掌握することで、リポジトリへの書込権限の取得が可能な状況にあった。この脆弱性は、2024年12月に発見され、2025年1月に責任あるかたちで開示された。
Continue reading “CodeRabbit 本番環境サーバにおける RCE 脆弱性:100 万件以上のリポジトリに影響が生じた可能性”Crypto Developers Attacked With Malicious npm Packages to Steal Login Details
2025/08/19 CyberSecurityNews — 機密性の高い認証情報やウォレット情報の窃取を目的とし、暗号資産の開発者を標的に悪意の npm パッケージを展開する、新たな脅威キャンペーンが確認された。そこで用いられる手法は、従来と比べて洗練されたものであり、開発者コミュニティに深刻なリスクをもたらしている。この攻撃は、正規のSDK (software development kits) やスキャン・ツールを装い、特に Solana 暗号資産エコシステムを標的にするため、研究者たちは Solana-Scan と名付けている。
Continue reading “npm パッケージの悪用と攻撃:Solana 暗号資産の開発者から機密情報を窃取するキャンペーンを検出”Hackers Use AI to Create Malicious NPM Package that Drains Your Crypto Wallet
2025/08/04 CyberSecurityNews — 人工知能 (AI) を悪用するサイバー犯罪者たちは、正規の開発ツールを装う NPM パッケージを作成/展開することで、暗号資産ウォレットから密かに資金を吸い上げるという、巧妙な攻撃を仕掛けている。“@kodane/patch-manager” という名のパッケージは、ライセンス検証およびレジストリ最適化機能を提供する “NPM Registry Cache Manager” を装っているが、実際には Solana ブロックチェーン資産を標的とする、高度な暗号資産ウォレット・ドレイナー (資金窃取ツール) を内包している。
Continue reading “NPM 上の悪意のパッケージを解析:AI によるコード生成を示す証拠が発見された”npm ‘is’ Package With 2.8M Weekly Downloads Weaponized to Attack Developers
2025/07/29 CyberSecurityNews — npm を標的とするフィッシング攻撃の波は、280 万回/週のペースでプルされるユーティリティ “is” の乗っ取りにより、深刻度を増している。2025年7月19日に攻撃者は、盗み出したメンテナーの認証情報を用いて、悪意の “is” バージョン 3.3.1/5.0.0 をレジストリに登録した。それにより、通常の依存関係解決を通じて、バックドアがシームレスに拡散されていった。
Continue reading “npm の “is” パッケージ侵害:280 万回/週のペースで DL されるユーティリティが武器化された”Hackers Breach Toptal GitHub, Publish 10 Malicious npm Packages With 5,000 Downloads
2025/07/28 TheHackerNews — Toptal の GitHub 組織アカウントに侵入した正体不明の脅威アクターが、そのアクセス権を悪用して 10個の悪意のパッケージを npm レジストリに公開するという、ソフトウェア・サプライチェーン攻撃の最新事例が紹介されている。先週に Socket が公開したレポートによると、これらのパッケージに隠された悪意のコードにより、GitHub の認証トークン窃取や、被害者システムの破壊などが引き起こされるという。それに加えて、この組織に関連する73個のリポジトリが公開されている。
Continue reading “Toptal の GitHub が侵害された:悪意の npm パッケージが 5,000 回もダウンロード”Google Launches OSS Rebuild to Strengthen Security of The Open-Source Package Ecosystems
2025/07/24 CyberSecurityNews — 現代のソフトウェア・サプライチェーンは、無数のサードパーティ・コンポーネントに依存しているため、それらのパッケージ・リポジトリは攻撃者にとって格好の標的となっている。この1年の間に発生した、xz-utils バックドアや solana/webjs タイポスクワッティングなどの、注目を集めるセキュリティ侵害が示したのは、防御側が認知する前に、広く利用されているライブラリを巧妙なコードで汚染するという、可能性があることだった。
Continue reading “Google の OSS Rebuild がスタート:リポジトリ汚染を一掃する試みへの期待とは?”Threat Actors Hijack Popular npm Packages to Steal The Project Maintainers’ npm Tokens
2025/07/22 CyberSecurityNews — 広く使用される eslint-config-prettier や eslint-plugin-prettier などの、複数の npm パッケージが高度なサプライチェーン攻撃により侵害された。この攻撃の原因は、標的型フィッシング攻撃による、メンテナーの認証トークンの窃取にある。この攻撃で用いられたドメイン npnjs.com は、正規の npmjs.org サイトを模倣するものであり、精巧に設計されたフィッシング・メールを通じて、開発者の認証情報を収集するタイポスクワッティング攻撃が仕掛けられた。
PoC Released for High-Severity Git CLI Vulnerability Allowing Arbitrary File Writes
2025/07/15 gbhackers — Git の CLI (command-line interface) に存在する、深刻な脆弱性 CVE-2025-48384 が報告され、PoC エクスプロイトも公開されている。この脆弱性の悪用に成功した攻撃者は、Linux/macOS システムにおいて、任意のファイル書き込みやリモート・コード実行 (RCE) を可能にするという。この脆弱性は .gitmodules ファイル内に含まれる改行文字の不適切な処理に起因し、セキュリティ制御のバイパスを許すものである。悪意のリポジトリに対して、git clone –recursive コマンドを実行することで、この脆弱性はトリガーされる。
Continue reading “Git CLI の脆弱性 CVE-2025-48384:悪意の Hook/Config の恐れと PoC の公開”Splunk SOAR Addresses Vulnerabilities in Third-Party Packages – Update Now
2025/07/09 gbhackers — Splunk が 2025年7月12日に公開したセキュリティ・アドバイザリによると、同社の SOAR (Security Orchestration, Automation and Response) に脆弱性が発見されたとのことだ。 このプラットフォームに取り込まれる十数種の OSS コンポーネントに、脆弱なバージョンのパッケージが含まれることが判明しており、その中には、すでにエクスプロイトが公開されている欠陥もあるという。
Continue reading “Splunk SOAR サードパーティの脆弱性が FIX:問題のある OSS パッケージをアップデート”North Korean Hackers as Recruiters Attacking Developers With 35 New Malicious npm Packages
2025/06/25 CyberSecurityNews — 高度なサプライチェーン攻撃キャンペーンを、北朝鮮の脅威アクターが開始した。侵害済みの 24のアカウントに、悪意の npm パッケージ 35個を埋め込み、巧妙なフェイク・リクルートを介して、ソフトウェア開発者を標的としている。このキャンペーンは、OSS エコシステムを標的とする、国家支援のサイバースパイ活動の著しいエスカレーションを示しており、いまも続いている、伝染面接 (Contagious Interview) 作戦の延長とみられている。
Continue reading “npm リポジトリを舞台とする新たなキャンペーン:リクルーターを装い開発者に悪意のコードを実行させる”Insecure GitHub Actions in Open Source Projects MITRE and Splunk Exposes Critical Vulnerabilities
2025/06/18 CyberSecurityNews — GitHub に対する包括的なセキュリティ調査により、主要な OSS リポジトリ全体にわたる GitHub Actions ワークフローにおいて、広範な脆弱性の存在が明らかになったが、その中には MITRE や Splunk といった組織が管理するリポジトリも含まれる。今回の発見が浮き彫りにするのは、これらのプロジェクトを潜在的なサプライチェーン攻撃や機密情報への不正アクセスにさらす、安全が確保されない CI/CD (Continuous Integration and Continuous Delivery) コンフィグレーションの懸念すべきパターンである。
Continue reading “GitHub Actions に潜む問題:MITRE/Splunk リポジトリへの侵害を研究者たちが実証”Developers Beware! 16 React Native Packages With Million of Download Compromised Overnight
2025/06/09 CyberSecurityNews — 一週間のダウンロード数が合計で 100万回以上に達するという、人気の React Nativeパッケージ 16件が、巧妙なサプライチェーン攻撃により侵害され、NPM エコシステムに対する脅威が深刻化している。この、2025年6月6日に開始された攻撃では、React Native Aria エコシステムと GlueStack フレームワーク内のパッケージに体系的なバックドアが仕掛けられ、持続的なシステム制御とデータ窃取機能を確立する、高度なリモートアクセス型トロイの木馬 (RAT) が展開された。
Continue reading “React Native Package 16種類に RAT:一晩で仕込まれた組織的な悪意とは?”New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally
2025/06/08 TheHackerNews — GlueStack 関連の 12以上のパッケージを標的とする、マルウェア拡散を目的としたサプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。Aikido Security は、「”lib/commonjs/index.js” への変更時に侵入した、このマルウェアを操作する攻撃者は、シェル・コマンドの実行/スクリーン・ショットの撮影/感染マシンへのファイル・アップロードが可能にする。これらのパッケージのダウンロード数は、合計で毎週約 100万回に達している」と、The Hacker News に述べている。
Continue reading “npm/PyPI エコシステムが標的:新たなサプライチェーン・マルウェア攻撃の詳細が判明”Dozens of malicious packages on NPM collect host and network data
2025/05/23 BleepingComputer — NPM インデックスで発見されたのは、機密性の高いホスト/ネットワークのデータを収集し、脅威アクターが制御する Discord Web フックへと送信する、60 件の悪意のパッケージである。Socket の脅威調査チームによると、これらのパッケージは、5月12日以降において、3つのパブリッシャー・アカウントから NPM リポジトリにアップロードされたものだという。
Continue reading “NPM 上の悪意のパッケージがネットワーク情報を収集:60 件のマルウェア・パッケージを発見”Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication
2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。
Continue reading “Google Calendar を C2 サーバに変える:NPM に仕掛けられた高ステルス性のマルウェアとは?”Supply chain attack hits npm package with 45,000 weekly downloads
2025/05/08 BleepingComputer — npm パッケージ “rand-user-agent” がサプライチェーン攻撃を受け、難読化されたコードを注入されたことが判明した。このコードは、ユーザーのシステム上で RAT(Remote Access Trojan) を起動させるよう設計されている。“rand-user-agent” パッケージは、ランダムなユーザー・エージェント文字列を生成するツールであり、Web スクレイピング/自動テスト/セキュリティ研究などに役立つものだ。このパッケージは、現在では非推奨となっているが、週平均で 45,000 件ものダウンロード数を誇っている。
Continue reading “npm で新たなリポジトリ汚染:人気パッケージ “rand-user-agent” が標的にされた”Researchers Uncover Malware in Fake Discord PyPI Package Downloaded 11,500+ Times
2025/05/07 TheHackerNews — Python Package Index (PyPI) リポジトリ上で、無害な Discord 関連ユーティリティを装いながら、リモートアクセス型トロイの木馬 (RAT) を取り込んでいる悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。この問題のパッケージは “discordpydebug” であり、2022年3月21日に PyPI にアップロードされている。すでに、このパッケージは 11,574回もダウンロードされており、PyPI レジストリ上で引き続き提供されている。興味深いことに、このパッケージは、それ以降において更新されていない。
Continue reading “フェイク Discord パッケージと RAT:PyPI から 11,500+ のダウンロード”Malicious Go Modules Deliver Disk-Wiping Linux Malware in Advanced Supply Chain Attack
2025/05/03 TheHackerNews — サイバー・セキュリティ研究者たちが発見した、3つの悪意のある Go モジュールは、次段階のペイロードを取得する難読化コードにより、Linux システムのプライマリ・ディスクを永久に上書きし、起動不能にする可能性があるものだ。それらのパッケージ名は、以下の通りである:
Seven Malicious Packages Exploit Gmail SMTP to Run Harmful Commands
2025/05/02 gbhackers — Python Package Index (PyPI) に公開された7つのパッケージに、相互に関連する悪意が潜んでいることが、Socket 脅威調査チームの研究者たちにより発見された。それは、Python オープンソース・コミュニティを揺るがす、大規模なサプライチェーン・セキュリティ・インシデントを示すものだ。
Continue reading “PyPI に7つの悪意のパッケージ:Gmail SMTP への信用を悪用する新たな手口”GitLab Releases Security Update to Patch XSS and Account Takeover Flaws
2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.11.1/17.10.5/17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。
Continue reading “GitLab の XSS の脆弱性 CVE-2025-1763/2443 などが FIX:XSS によるアカウント乗っ取りの恐れ”Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems
2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ3つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。
Continue reading “npm に潜む悪意のパッケージを発見:Telegram Bot API を装い SSH バックドアを展開”Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data
2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証”SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack
2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。
Continue reading “GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる”Infostealer campaign compromises 10 npm packages, targets devs
2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。
Continue reading “npm パッケージに仕込まれた情報窃取型マルウェア:暗号通貨関連の機密情報を流出?”GitLab Alert: Patch Now! XSS & Privilege Escalation Risks
2025/03/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、セルフマネージド GitLab Community Edition (CE) および Enterprise Edition (EE) の全ユーザー対して、最新バージョンである 17.10.1/17.9.3/17.8.6 へと、速やかにアップグレードするよう促している。このアップデートは、クロスサイト・スクリプティング (XSS) の欠陥や権限昇格の問題などの、一連の脆弱性に対処するものである。
Continue reading “GitLab の複数の脆弱性 CVE-2025-2255/0811 などが FIX:XSS や権限昇格の恐れ”Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed
2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。
Continue reading “GitHub Actions の脆弱性 CVE-2025-30154/CVE-2025-30066:サプライチェーン攻撃の可能性を考える”Coinbase was primary target of recent GitHub Actions breaches
2025/03/21 BleepingComputer — 最近の GitHub Actions への連鎖型のサプライ・チェーン攻撃により、数百のリポジトリのシークレットが侵害されているが、その主要なターゲットは Coinbase であると、研究者たちが断定している。Palo Alto Unit 42 と Wiz の最新レポートによると、この綿密に計画された攻撃は、悪意のコードが reviewdog/action-setup@v1 GitHub Action に挿入されたときから始まっているという。この侵害の発生の方法は不明であるが、脅威アクターはアクションを変更して、CI/CD シークレットと認証トークンを、GitHub Actions ログにダンプした。
Continue reading “GitHub Actions の侵害:最初のターゲットとして狙われたのは Coinbase”Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts
2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告:異常なアクセス試行:ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。
Continue reading “GitHub リポジトリ 12,000 件が標的:偽のセキュリティ通知を悪用するフィッシング攻撃”Popular GitHub Action “tj-actions/changed-files” Compromised (CVE-2025-30066)
2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されている ソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。
Continue reading “GitHub Action の脆弱性 CVE-2025-30066:侵害によるシークレット漏洩と是正の手順”GitLab Urgently Patches Critical Authentication Bypass Flaws – CVE-2025-25291 & CVE-2025-25292
2025/03/12 SecurityOnline — GitLab が発表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在するセキュリティ脆弱性を修正するための、新しいバージョン 17.9.2/17.8.5/17.7.7 のリリースである。このリリースは、深刻な認証バイパス脆弱性などの、さまざまなセキュリティ問題に対処するものだ。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ”North Korean Lazarus hackers infect hundreds via npm packages
2025/03/11 BleepingComputer — npm (node package manager) で発見された6つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取/侵害済みシステムへのバックドア展開/機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。
Continue reading “npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見”Over 1000 Malicious Packages Found Exploiting Open-Source Platforms
2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。
Continue reading “悪意の OSS パッケージを分析:1,000件以上に共通する特徴/戦術/手口とは? – Fortinet”Popular Python Logging Library Vulnerable to Remote Code Execution (CVE-2025-27607)
2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。
Continue reading “Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX:PoC も提供”12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training
2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。
Continue reading “LLM トレーニングに用いられるデータセットの問題:約 12,000 個の API キーの発見”CVE-2025-0475 & CVE-2025-0555: GitLab’s High-Risk Patch Now
2025/02/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、すべてのセルフ・マネージド GitLab インストールを、バージョン 17.9.1/17.8.4/17.7. 6へと、直ちにアップグレードするよう求めている。この緊急対応の要請は、機密性の高いユーザー・データを漏洩する可能性のある、深刻度の高いクロス・サイト・スクリプティング (XSS) などの、複数の脆弱性の発見を受けてのものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-0475/0555 などが FIX:XSS の恐れ”PRevent: Open-source tool to detect malicious code in pull requests
2025/02/20 HelpNetSecurity — ユーザー組織におけるソフトウェア開発ライフサイクルの一環として、悪意のコードの検出に有益となる OSS ツールが、Apiiro のセキュリティ研究者たちによりリリースされた。それらは、プルリクエストに対するスキャナーである PRevent と、悪意のコードを検出するルールセットSemgrep、静的コード用の分析ツール Opengrep で構成されている。
Continue reading “PRevent という OSS SecTool:GitHub プルリクエストで悪意のコードをスキャン”GitLab Patches High-Severity XSS Flaw (CVE-2025-0376) and Other Security Flaws in Latest Release
2025/02/12 SecurityOnline — GitLab が発行したセキュリティ・アドバイザリは、深刻度の高いクロス・サイト・スクリプティング (XSS) などの脆弱性に対処するものであり、ユーザーに対して速やかな更新を促すものである。GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.8.2/17.7.4/17.6.5 を対象とする、今回のアップデートに取り込まれたのは、合計で9件のセキュリティ問題に対する修正である。
Continue reading “GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX:その他の6件の欠陥にも対応”
IoT OT Security News 
You must be logged in to post a comment.