GitLab affected by GitHub-style CDN flaw allowing malware hosting
2024/04/22 BleepingComputer — 先日に BleepingComputer は、GitHub の欠陥 (あるいは設計上の仕様) を悪用する脅威アクターが、Microsoft のリポジトリに関連付けられた URL を介して、信頼できるファイルを装いながら、マルウェアを配布していることを報告した。この問題は、GitLab に対しても影響を及ぼすものであり、同様の方法で悪用される可能性が生じることが判明した。このマルウェアに関連する活動の大半は、Microsoft GitHub の URL に基づくものだった。しかしこの “欠陥” は、GitHub や GitLab の、あらゆる公開リポジトリで悪用が可能であり、きわめて説得力のあるルアーを、脅威アクターたちは作成できるという。
Continue reading “GitLab にも GitHub スタイルの コメント悪用の問題:マルウェアのホスティングが容易になる”GitHub comments abused to push malware via Microsoft repo URLs
2024/04/20 BleepingComputer — GitHub のバグ (あるいは設計上の仕様) を悪用する脅威アクターたちが、Microsoft のリポジトリに関連する URL を使って信頼できるファイルを装い、マルウェアを配布している。先日に発見されたマルウェアの多くは、Microsoft GitHub の URL を中心に活動していた。さらに、この “欠陥” の悪用は、GitHub 上のあらゆる公開リポジトリで応用できるため、きわめて説得力のあるルアーを、脅威アクターたちが作成するという可能性が生じている。
Continue reading “GitHub のコメント機能を悪用:Microsoft のリポジトリ URL 経由でマルウェア配布”HashiCorp Patches Critical CVE-2024-3817 Vulnerability in go-getter Library
2024/04/17 SecurityOnline — 広く使用されている HashiCorp の go-getter ライブラリに存在する、深刻な脆弱性 CVE-2024-3817 に対する、緊急のセキュリティ・アドバイザリが発表された。この脆弱性の悪用に成功した攻撃者は、Git の操作中に悪意のコードを注入することが可能となり、影響を受けるライブラリを使用しているシステムに危険が生じることになる。
Continue reading “HashiCorp の go-getter ライブラリの脆弱性 CVE-2024-3817 が FIX:ただちにパッチを!”US Government and OpenSSF Partner on New SBOM Management Tool
2024/04/17 InfoSecurity — Open Source Security Foundation (OpenSSF) は米国政府と共同して、ユーザー組織における Software Bill of Materials (SBOMs) 管理を簡素化する、新しいツールを発表した。新しい OSS ツールである Protobom は、すべての組織における SBOM とファイル・データの読取/生成をサポートし、また、業界標準の SBOM フォーマット間で、それらのデータを変換するためのものだ。
Continue reading “米政府と OpenSSF がパートナーシップ:SBOM 管理のためのツール Protobom とは?”Threat Actors Game GitHub Search to Spread Malware
2024/04/11 InfoSecurity — 脅威アクターたちは、悪意のコードが隠された GitHub リポジトリを、多大な労力を費やして拡散していると、Checkmarx が警告している。最近に発見されたキャンペーンでは、これらのリポジトリが GitHub の検索結果の上位に表示されるよう設計された、テクニックが展開されていたという。
Continue reading “GitHub リポジトリ検索の悪用:マルウェア拡散の温床になっている”GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade
2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2/16.9.4/16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。
Continue reading “GitLab の4件の脆弱性が FIX:XSS および Dos が発生する可能性”GitHub Developers Hit in Complex Supply Chain Cyberattack
2024/03/25 DarkReading — 正体不明の脅威グループが、Top.gg の GitHub のメンバーや開発者たちに対して高度なサプライチェーン攻撃を展開し、このコード・エコシステムに悪意のコードを注入していることが明らかになった。攻撃者は、信頼されているソフトウェア開発要素に侵入することで、開発者たちを侵害していく。彼らは、盗んだクッキーで GitHub アカウントを乗っ取り、検証済みのコミットを通じて悪意のコードを投稿し、偽の Python ミラーを確立し、PyPI レジストリに汚染されたパッケージを公開する。
Continue reading “GitHub のサプライチェーン攻撃:Top.gg アカウントを悪用してマルウェアを展開”Over 800 npm Packages Found with Discrepancies, 18 Exploitable to ‘Manifest Confusion’
2024/03/21 TheHackerNews — npm レジストリに存在する、800 以上のパッケージのレジストリ・エントリに不一致であることが、サイバーセキュリティ企業 JFrog の新たな調査により判明した。不一致があったエントリのうちの 18 件は、 “Manifest Confusion” と呼ばれる手法を悪用していたという。JFrog によると、開発者を騙して悪意のコードを実行させるために、この問題が脅威アクターに悪用される可能性があるという。
Continue reading “800 以上の NPM パッケージで不一致を検出:そのうちの 18件は Manifest Confusion を悪用”GitHub Launches AI-Powered Autofix Tool to Assist Devs in Patching Security Flaws
2024/03/21 TheHackerNews — 3月20日に GitHub が発表したのは 、Advanced Security の全顧客を対象に、コードスキャン自動修正と呼ばれる機能を、パブリック・ベータ版として公開することである。GitHub の Pierre Tempel と Eric Tooley によると、「GitHub Copilot と CodeQL を搭載したコードスキャン自動修正機能は、JavaScript/TypeScript/Java/Python のアラート・タイプの 90%以上をカバーし、見つかった脆弱性の3分の2以上を、ほとんど編集せずに修正できるコード案を提供する」という。
Continue reading “GitHub Advanced Security の新機能がリリース:AI を活用した脆弱性のパッチ適用支援”“Gitgub” Malware Campaign Targets Github Users With Risepro Info-Stealer
2024/03/17 SecurityAffairs — RisePro インフォ・スティーラーを配信するように設計され、クラック済みのソフトウェアをホストする、少なくとも 13 の GitHub リポジトリを、G-Data の研究者たちが発見した。専門家たちが気づいたのは、このキャンペーンの運営者が、”gitgub” という名称を用いていたことだ。悪意の GitHub リポジトリに関する Arstechnica の情報を得て、研究者たちは調査を開始した。彼らは、このキャンペーンに関与しているリポジトリを特定するために、脅威ハンティング・ツールを作成した。その結果として判明したのは、すべてのリポジトリが同じダウンロード・リンクにつながるという、新たに作成されたリポジトリの存在である。
Continue reading ““gitgub” というマルウェア・キャンペーン:GitHub ユーザーにRisePro インフォ・スティーラーを配布”Over 12 million auth secrets and keys leaked on GitHub in 2023
2024/03/11 BleepingComputer — 2023年に GitHub ユーザーが、誤って公開してしまった認証や機密のシークレットは 1280万件に達し、それらは 300万以上の公開リポジトリ上に存在している。GitGuardian のサイバー・セキュリティ専門家たちによると、シークレットを暴露してしまった人々に 180万通の無料メール・アラートを送ったが、連絡を受けた人たちのうち、誤りを修正するために迅速に行動したのは、僅か 1.8% に過ぎなかったという。
Continue reading “2023年の GitHub:全体で 1200万件のシークレットが漏えいしてしまった”CISA Outlines Efforts to Secure Open Source Software
2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
Continue reading “CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?”GitHub push protection now on by default for public repositories
2024/03/04 HelpNetSecurity — GitHub のプッシュ保護機能が、すべての公開リポジトリでデフォルトで有効になった。このセキュリティ機能は、API キーやトークンなどの機密情報が、誤ってオンラインに流出することの防止を目的としている。Microsoft の子会社である GitHub は、「この機能により、公開リポジトリへのプッシュでサポートされている機密情報が検出された場合に、その情報はコミットから削除される。あるいはオプション機能として、その機密情報が安全だと判断された場合には、ブロックを回避する」と述べている。
Continue reading “GitHub パブリック・リポジトリのプッシュ保護機能:デフォルトでオンになった”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”New Malicious PyPI Packages Caught Using Covert Side-Loading Tactics
2024/02/20 TheHackerNews — Python Package Index (PyPI) リポジトリに、2つの悪意のパッケージが存在することが、サイバーセキュリティ研究者たちにより発見/確認された。それらの悪意のパッケージは、DLL サイド・ローディングと呼ばれるテクニックを用いて、セキュリティ・ソフトウェアによる検出を回避し、悪意のコードを実行するものだ。それらのパッケージは NP6HelperHttptest と NP6HelperHttper と名付けられ、削除されるまでに、それぞれが 537回/166回ダウンロードされている。
Continue reading “PyPI に “NP6” を冠した悪意のパッケージ:DLL サイド・ローディングで攻めてくる”Abusing The Ubuntu ‘Command-Not-Found’ Utility To Install Malicious Packages
2024/02/14 SecurityAffairs — クラウドセキュリティ企業 Aqua のサイバー・セキュリティ研究者が発見したのは、一般的なユーティリティ “command-not-found”‘” の悪用により、悪意のパッケージの欺瞞的な推奨につながる可能性である。Aqua Nautilus の研究者たちは、「Ubuntu の “command-not-found” パッケージと “snap” パッケージの、リポジトリ間における相互作用に起因する、セキュリティ問題を特定した。”command-not-found” は、アンインストールされたコマンドのインストールを提案する便利なツールとして機能するが、”snap” リポジトリを介した操作により、悪意のパッケージの欺瞞的な推奨につながる」と述べている。
Continue reading “Ubuntu の “Command-Not-Found” ユーティリティの悪用:悪意のパッケージをインストールする可能性”Critical Vulnerabilities Uncovered in GitHub Enterprise Server – Patch Immediately!
2024/02/14 SecurityOnline — 進化し続けるデジタルセキュリティの中で、GitHub Enterprise Server (GHES) はエンタープライズ・レベルのコード管理とコラボレーションの基盤として登場した。この GHES は、GitHub のセルフホスト・バージョンとして、組織に対してリポジトリと開発プロセスを管理する能力を提供する。しかし、最近になって、複数の深刻度の高い脆弱性が公表され、その悪用に成功した攻撃者が、機密性の高いシステムに不正にアクセスする可能性が生じている。したがって、リスクを軽減するための、早急な対策が求められる。
Continue reading “GitHub Enterprise の複数の脆弱性が FIX:ただちにパッチを!”The Critical CVE-2024-1143 Vulnerability in Central Dogma
2024/02/05 SecurityOnline — ソフトウェア開発やシステム管理の世界において、堅牢でセキュアなコンフィグレーション・リポジトリは、円滑な運用や機密データの保護に欠かせない要素だ。LINE が開発した、オープンソースの高可用性バージョン管理サービス設定リポジトリ Central Dogma は、この目的のために広く使われているツールである。しかし最近になって、脆弱性 CVE-2024-1143 の存在が判明し、Central Dogma のユーザーにとって重大な脅威となっている。
Continue reading “Central Dogma の脆弱性 CVE-2024-1143 が FIX:CVSS 値 10.0 の XSS”URGENT: Upgrade GitLab – Critical Workspace Creation Flaw Allows File Overwrite
2024/01/30 TheHackerNews — GitLab は、Community Edition (CE)/Enterprise Edition (EE) に、深刻なセキュリティ上の欠陥があるとして、修正プログラムを再度リリースした。この問題とは、ワークスペース作成時に、任意のファイルを書き込まれる可能性が生じるものだ。この脆弱性 CVE-2024-0402 の深刻度は、CVSS:9.9 と評価されている。
Continue reading “GitLab の緊急アップデート:CVSS 9.9 の脆弱性 CVE-2024-0402 を FIX”Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines
2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
Continue reading “PyPI に新たな悪意のパッケージ: Windows デバイス上に WhiteSnake マルウェアを展開”Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub
2024/01/23 TheHackerNews — npm パッケージ・レジストリで発見された2つの悪意のパッケージは、開発者システムにインストールされた後に、Base64 暗号化された SSH キーを盗み出し、GitHub に保存するものだったと判明した。2024年1月初旬に公開された、warbeast2000 と kodiak2k という名のモジュールは、npm のメンテナンスにより削除されるまでに、それぞれ 412回と 1,281回のダウンロードを記録している。また、最新のダウンロードは 2024年1月21日に行われているという。
Continue reading “NPM に悪意のパッケージ:開発者を騙して盗んだ SSH Key を GitHub に隠して保存”TensorFlow CI/CD Flaw Exposed Supply Chain to Poisoning Attacks
2024/01/18 TheHackerNews — オープンソースの機械学習フレームワーク TensorFlow で発見された CI/CD (integration and continuous delivery ) のミスコンフィグが、サプライチェーン攻撃の組織化のために悪用された可能性があるという。今週のレポートで Praetorian の研究者である Adnan Khan と John Stawinski は、「このミスコンフィグを悪用する攻撃者が、悪意のプルリクエストを通じて TensorFlow のビルド・エージェントを侵害し、GitHub/PyPi 上の TensorFlow リリースのサプライチェーンを侵害した可能性がある」と述べている。
Continue reading “TensorFlow CI/CD のミスコンフィグへの対応:サプライチェーン攻撃の要因になり得る”GitHub rotates keys to mitigate impact of credential-exposing flaw
2024/01/16 BleepingComputer — GitHub がローテーションしたキーは、2023年12月に発生した脆弱性へのパッチ適用により、公開されてしまう可能性があるものだ。この脆弱性の悪用に成功した攻撃者は、環境変数を介して運用中のコンテナ内の認証情報にアクセスできたという。この、不適切なリフレクションの脆弱性 CVE-2024-0200 が悪用されると、パッチ未適用のサーバ上で、リモート・コード実行にいたる可能性がある。
Continue reading “GitHub の脆弱性 CVE-2024-0200 が FIX:漏洩キーのローテーションにも対応”Security Experts Urge IT to Lock Down GitHub Services
2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。
Continue reading “GitHub 2023 調査:リポジトリを悪用するサイバー攻撃の増加 – Recorded Future”“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers
2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
Continue reading “PyPI に潜む Blank Grabber マルウェア:Python 開発者たちを狙い続ける”CVE-2023-7028 & 5356: GitLab Addresses Account Takeover & Command Flaws
2024/01/11 SecurityOnline — 進化し続けるサイバー脅威の状況に対応するために、DevOps 分野で有名な GitLab が、先日に一連の重大な脆弱性を修正した。今回のアップデートで修正された脆弱性には、Critical なものとして CVE-2023-7028/CVE-2023-5356 があるが、その他にも3件の脆弱性が修正されている。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-7028/CVE-2023-5356 などが FIX:直ちにアップデートを!”Why Public Links Expose Your SaaS Attack Surface
2024/01/09 TheHackerNews — SaaS の強力なセールスポイントとなっているのは、アプリケーション間における連携機能である。Microsoft/Github/Miro などは、ユーザーのパフォーマンスを高めるものとして、各々のソフトウェア・アプリケーションの連携性の高さを訴求している。ファイル/リポジトリ/掲示板などへのリンク URL は、どこでも、誰とでも、共有できる。それにより、地域や部署を越えて分散している従業員間の連携が促進され、より強力なキャンペーンやプロジェクトを生み出すためのチームワークが後押しされる。
Continue reading “ファイル共有のベスト・プラクティス:SaaS の公開リンクが攻撃対象になる理由とは?”New Research: Tackling .NET Malware With Harmony Library
2024/01/08 InfoSecurity — 2024年1月8日に、セキュリティ研究者たちが発表したのは、Harmony ライブラリを使用して .NET マルウェアに対抗するための、戦略的洞察に関するレポートだ。マルウェア研究者/アナリスト/リバース・エンジニアたちにとって、コードの特定の部分の機能を操作する能力は、分析プロセスで有意義な結果を得るために不可欠なものだ。
Continue reading “Harmony ライブラリを使用した .NET マルウェア対抗策が公開 – Check Point 調査”Three Ways To Supercharge Your Software Supply Chain Security
2024/01/04 TheHackerNews — “Executive Order on Improving the Nation’s Cybersecurity” の第4節で紹介されているのは、技術業界の人々のための、ソフトウェア・サプライ・チェーンと安全性確保の概念である。もし、あなたがソフトウェアを作り、それを連邦政府機関に売りたいと考えているのであれば、ソフトウェア・サプライ・チェーンについて注意を払う必要がある。もし、政府機関に販売する計画がないとしても、ソフトウェア・サプライ・チェーンを理解し、その安全性を確保する方法を学ぶことで、より強固なセキュリティの足場とメリットという配当が得られる。この記事では、ソフトウェア・サプライチェーンのセキュリティを強化するための、3つの方法について説明していく。
Continue reading “ソフトウェア・サプライ・チェーンの安全性:三本柱の実践で改善できるはず”‘everything’ blocks devs from removing their own npm packages
2024/01/04 BleepingComputer — 年末年始の連休中に、npm パッケージのレジストリは 3,000以上のパッケージで溢れかえった。この、”everything” をダウンロードするように命名されたパッケージは、すべての npm パッケージを徐々に取り込む。それらは、コンピュータ上の npmjs.com レジストリに公開されものであり、ストレージが不足する可能性がある。 しかし、このような問題は、氷山の一角にすぎない。つまり、誰が “everything をインストールするのかという疑問は、このパッケージが持っている、もっと大きな副作用を無視している。
Continue reading “npm で発生した “依存性地獄”:パッケージ削除を禁止する最悪の連鎖が発生”Python’s New Threat: Malicious PyPI Packages Targeting Linux Devices
2024/01/03 SecurityOnline — 先日に Python コミュニティで、Linux デバイス上に CoinMinerを 展開する、3つの悪意の PyPI (Python Package Index) パッケージが発見された。これらのパッケージ modularseven-1.0/driftme-1.0/catme-1.0 は、FortiGuard の AI 駆動型 OSS マルウェア検出システムにより発見されたものであり、オープンソースのエコシステムを標的とする、攻撃の洗練度の大幅なエスカレーションを示唆している。
Continue reading “PyPI に新たな悪意のパッケージ: Linux デバイス上で CoinMinerを 展開”GitHub warns users to enable 2FA before upcoming deadline
2023/12/26 BleepingComputer — GitHub アカウントにおいて、2要素認証 (2FA) が有効化されていない場合には、同サイトでの機能が制限されると警告されている。クリスマス・イブに GitHub ユーザーに送られたメールには、 GitHub.com でコードをコントリビュートしている全ユーザーは、2024年1月19日までに 2FA を有効化する必要があると記されている。
Continue reading “GitHub の2FA 義務化:2024年1月19日から正式スタート”Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure
2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの2つのユニークな機能を悪用して、ステージ2のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。
Continue reading “GitHub の gists/commits 機能:マルウェアのホストに悪用されている”PyPI Poisoned: 116 Malicious Packages Target Windows and Linux
2023/12/12 SecurityOnline — ESET の最新調査により、Python Package Index (PyPI) における脅威の動向が明らかになった。公式リポジトリ内における依存関係を悪用する形で、Windows/Linux を標的とする悪質なコードが大量に展開され、悪意の Python プロジェクトが網の目のように張り巡らされている状況が、この調査で判明した。
Continue reading “PyPI リポジトリ汚染:116 件の悪意の Python パッケージが発見された”Major Organizations Using ‘Hugging Face’ AI Tools Put at Risk by Leaked API Tokens
2023/12/05 SecurityWeek — Hugging Face/GitHub などのコード・リポジトリに、誤って公開されている 1,600以上の有効な Hugging Face API トークンを、AI サイバー・セキュリティ・スタートアップである Lasso が発見した。トークンなどの機密情報が流出し悪用されると、きわめて高いリスクにいたることから、コードホスティング・プラットフォームやセキュリティ研究者たちかは、以前から注視し続けている。LLM (Large Language Models) を統合する開発者や企業は、Hugging Face API トークンにより、Hugging Face リポジトリの管理を可能にする。
Continue reading “Hugging Face/GitHub で API トークンが流出:AI を活用する企業が危険にさらされる”How Continuous Pen Testing Protects Web Apps from Emerging Threats
2023/11/29 BleepingComputer — いつでも、どこからでも、サービスや情報にアクセスしたいという要求が高まるにつれ、Web ベース・アプリケーションへの依存も深まっている。ビジネス戦略から消費者ニーズ、さらにはより広い社会的機能まで、最近では思いつく限りの、あらゆるものに対応するアプリケーションが存在する。しかし、残念なことに、最近の Web アプリケーションは、その性質と遍在性から、ハッカーに狙われやすくなっている。この記事では、脅威アクターが Web アプリを標的にする理由を説明し、最新の Web アプリを保護するための継続的なモニタリングの価値を強調していく。
Continue reading “ペンテストについて考える:新たな脅威から Web アプリケーションを保護するには?”PoC Exploit Published for Visual Studio Code RCE Vulnerability (CVE-2023-36742)
2023/11/21 SecurityOnline — Visual Studio Code のリモート・コード実行の脆弱性 CVE-2023-36742 (CVSS:7.8) の、技術的詳細および PoC エクスプロイトが、セキュリティ研究者たちにより公表された。この、VS Code 1.82.0 以下に存在する脆弱性は、悪意を持って細工された package.json ファイルで作業する際に発生するものであり、ローカルでのコマンド実行につながるものだ。悪用のシナリオは、VS Code ユーザーに悪意のプロジェクトを開かせ、package.json ファイルの依存関係セクションにある、不正なエントリを操作させることで展開される。
Continue reading “Visual Studio の RCE 脆弱性 CVE-2023-36742:PoC エクスプロイトが公開”Microsoft fixes critical Azure CLI flaw that leaked credentials in logs
2023/11/14 BleepingComputer — Microsoft は、Azure CLI (Command-Line Interface) を介して作成された GitHub Actions/Azure DevOps のログから、攻撃者が認証情報を盗む可能性のある、深刻な脆弱性を修正した。この脆弱性 CVE-2023-36052 は、Palo Alto のセキュリティ研究者である Aviad Hahami により報告されたものである。認証されていない攻撃者が悪用に成功すると、Azure CLI により CI/CD (Continuous Integration and Continuous Deployment (CI/CD) ログに書き込まれた平文のコンテンツ対して、リモートからのアクセスが許されてしまう。
Continue reading “Azure CLI の深刻な脆弱性 CVE-2023-36052 が FIX:認証情報が漏洩する可能性”PyPI Packages Found to Expose Thousands of Secrets
2023/11/14 SecurityWeek — PyP Iパッケージにコミットされた Python コードを分析した結果において、何千ものハードコードされた認証情報が存在することが明らかになったと、コード・セキュリティ企業の GitGuardian が警告している。GitGuardian はセキュリティ研究者の Tom Forbes と共同で、約3,000の PyPI パッケージの中にある 4,000件ほどのユニークなシークレットを発見し、このうちの 760件以上が有効であると判明したとしている。
Continue reading “PyPI パッケージに漏れ出したシークレット情報:何千ものハードコードされた認証情報が存在”US Government Issues Guidance on SBOM Consumption
2023/11/10 SecurityWeek — 11月9日に、米国のサイバーセキュリティ機関である CISA/NSA/ODNI (Office of the Director of National Intelligence) は、ソフトウェアベンダーとサプライヤー向けに、ソフトウェアのサプライチェーンを保護するための新しいガイダンスを公開した。このガイダンスでは、組織が OSS (Open Source Software) や SBOM (Software Bills of Materials) の管理を含め、ソフトウェアのライフサイクル全体を通して自社のセキュリティ対策を評価するのに役立ち、ソフトウェア・サプライチェーンのあらゆる段階にわたって適用できる推奨事項が提示されている。
Continue reading “CISA/NSA/ODNI の共同指針:SBOM/OSS などの管理ガイダンスを発表”Open-source vulnerability disclosure: Exploitable weak spots
2023/11/09 HelpNetSecurity — オープンソース・プロジェクトの脆弱性開示プロセスの欠陥が攻撃者に悪用され、パッチが提供される前に攻撃を仕掛けるために必要な、情報を収集される可能性があると、Aqua Security の研究者たちが懸念している。”0.5-Day” の脆弱性は、メンテナには知られており、その情報は GitHub や NVD (National Vulnerability Database) に公開されているが、公式な修正プログラムが存在しない状況を指す。”0.75-Day” の脆弱性は、公式な修正プログラムは存在しているが、CVE 番号や CPE 識別子は存在しない状態を指す。したがって、脆弱性スキャンツールによる脆弱なコンポーネントの検出が不可能であり、パッチ適用の必要性に、セキュリティ・チームは気が付かない。
Continue reading “OSS における脆弱性の情報開示:悪用を防ぐための工夫をメンテナたちに伝えたい”GitHub Enhances Security Capabilities With AI
2023/11/08 SecurityWeek —
今日、Microsoft 傘下の GitHub が、GitHub Advanced Security の AI を活用しする、3つの機能のパブリック・プレビューを発表した。GitHub Enterprise Cloud および Enterprise Server の顧客向けに提供される Advanced Security により、コードの品質を維持/向上するための一連の機能が提供される。Dependabot などの機能の一部は、公開リポジトリでも利用できる。
Continue reading “GitHub の AI 拡張:3つの機能のパブリック・プレビューを発表”48 Malicious npm Packages Found Deploying Reverse Shells on Developer Systems
2023/11/03 TheHackerNews — npm リポジトリで、48個の悪意の npm パッケージ・セットが、新たに発見された。それらは、侵害したシステム上にリバースシェルを展開する機能を持っているという。ソフトウェア・サプライチェーンのセキュリティ企業 Phylum は、「これらのパッケージは、正規のパッケージを偽装されており、そのインストール時にリバースシェルを開始するための、難読化された JavaScript を取り込んでいる」と述べている。すべての偽造パッケージは、hktalent (GitHub/X) という npm ユーザーにより公開されている。この記事の執筆時点で、hktalent がアップロードしたパッケージのうち、39個がダウンロード可能な状態にある。
Continue reading “npm で発見された 48個の悪意のパッケージ:難読化されたリバースシェルを展開”EleKtra-Leak Cryptojacking Attacks Exploit AWS IAM Credentials Exposed on GitHub
2023/10/30 TheHackerNews — EleKtra-Leak と名付けられた現在進行中の新しいキャンペーンは、クリプト・ジャッキング活動を促進するために、パブリックな GitHub リポジトリ内の公開された、Amazon Web Service (AWS) の ID/IAM 資格情報に目をつけた。Palo Alto Networks Unit 42 の 研究者である William Gamazo と Nathaniel Quist は、「このキャンペーンに関与する脅威アクターたちは、複数の AWS Elastic Compute (EC2) インスタンスを作成し、広範かつ長期的なクリプトジャッキング操作に用いていた」と、The Hacker News と共有した技術レポートの中で述べている。
Continue reading “EleKtra-Leak クリプトジャッキング: AWS IAM と GitHub のギャップを突いて活動”Hundreds of malicious Python packages found stealing sensitive data
2023/10/04 BleepingComputer — この半年で複雑さを増した悪質なキャンペーンにより、OSS プラットフォームに数百の情報窃取パッケージが仕掛けられ、そのダウンロード数は約 75,000回を数えるという。このキャンペーンについては、4月上旬から Checkmarx の Supply Chain Security チームのアナリストたちが監視しており、標的となったシステムから機密データを盗み出すためのコードを取り込んだ、272種類のパッケージが発見されている。最初に確認されたときと比べて、この種の攻撃は大幅に進化しており、さらに巧妙になった難読化レイヤと検出回避の技術が、悪意のパッケージ作成者たちにより実装されているという。
Continue reading “Python に潜むマルウェア:272種類のパッケージと 75,000回のダウンロード”Rogue npm Package Deploys Open-Source Rootkit in New Supply Chain Attack
2023/10/04 TheHackerNews — npm パッケージ・レジストリで新種の偽装パッケージが発見され、r77 と呼ばれるオープンソースの rootkit が配布されていたことが判明した。問題のパッケージは、”node-hide-console-windows” であり、正規の npm パッケージ “node-hide-console-window” を模倣する、典型的なタイポスクワッティング・キャンペーンの事例となる。このパッケージは、削除されるまでの2ヶ月間に、704回もダウンロードされている。
Continue reading “npm に悪意の rootkit パッケージ:2ヶ月間で 700 回もダウンロードされている”Upstream Supply Chain Attacks Triple in a Year
2023/10/03 InfoSecurity — OSS エコシステムにおけるサイバーリスクの急増を、セキュリティ専門家たちが警告している。Sonatype の 9th Annual State of the Software Supply Chain Report は、公開されているデータと独自データの分析から構成されるものだ。そこには、4,000億件以上の Maven Central ダウンロードにおける、依存関係の更新パターンも含まれている。2023年に Sonatype は、245,032件の悪意のパッケージを検出したが、この件数と 2019年〜2022年の件数を比較すると、ソフトウェア・サプライ・チェーン攻撃は約2倍に増加していることになる。
Continue reading “OSS 調査:2023年は 245,032件の悪意のパッケージを検出 – Sonatype”Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys
2023/09/20 TheHackerNews — 侵害済のマシンからリモート・サーバへ向けて、Kubernetes のコンフィグと SSH キーを流出させるようにデザインされた、悪意のパッケージを連携させる新たなバッチを、研究者たちが npm パッケージ・レジストリで発見した。Sonatype は、これまでに14種類の npm パッケージを発見したと発表した。具体的には、@am-fe/hooks、@am-fe/provider、@am-fe/request、@am-fe/utils、@am-fe/watermark、@am-fe/watermark-core、@dynamic-form-components/mui、@dynamic-form-components/shineout、@expue/app、@fixedwidthtable/fixedwidthtable、@soc-fe/use、@spgy/eslint-plugin-spgy-fe、@virtualsearchtable/virtualsearchtable、shineouts などである。
Continue reading “npm の悪意のパッケージの新たな動向:Kubernetes コンフィグと SSH キーを盗み出す”Critical GitHub Vulnerability Exposes 4,000+ Repositories to Repojacking Attack
2023/09/12 TheHackerNews — GitHub に新たな脆弱性が発見され、何千ものリポジトリがレポジャッキング攻撃の危険にさらされている可能性があると判明した。Checkmarx のセキュリティ研究者である Elad Rapoport は、「GitHub のリポジトリ作成とユーザー名の変更操作における、競合状態を悪用できる。この脆弱性の悪用に成功した攻撃者は、Go/PHP/Swift などによる 4,000 以上のコード・パッケージや GitHub Actions を乗っ取ることが可能となり、このオープンソース・コミュニティに深刻な影響が生じる恐れがある。2023年3月1日の情報公開に続いて、2023年9月1日付けで GitHub は、この問題に対処した」と、The Hacker News と共有した技術レポートの中で述べている。
Continue reading “GitHub の深刻な脆弱性が FIX:ユーザー名変更にともなうレポハイジャックの問題”Malicious npm Packages Found Exfiltrating Sensitive Data from Developers
2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。
Continue reading “npm に新たな悪意のパッケージ:開発者たちをサプライチェーン攻撃に組み込む”
IoT OT Security News 
You must be logged in to post a comment.