130 Dropbox code repos plundered after successful phishing attack
2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。
Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”GitHub Bug Exposed Repositories to Hijacking
2022/10/27 InfoSecurity — セキュリティ研究者が新たに発見した GitHub の欠陥は、攻撃に成功した攻撃者がリポジトリを制御し、関連するアプリやコードにマルウェアを拡散する可能があるものだ。現時点において GitHub は、”popular repository namespace retirement” 機能のバグを修正しているが、将来において同じツールが、脅威者の標的となる可能性があると Checkmarx は警告している。
Continue reading “GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?”New Cryptojacking Campaign Targeting Vulnerable Docker and Kubernetes Instances
2022/10/27 TheHackerNews — 脆弱な Docker/Kubernetes インフラを標的とし、暗号通貨の不正マイニングを行う、新たなクリプトジャッキング・キャンペーンが発覚した。このアクティビティを Kiss-a-dog と名付けた CrowdStrike は、その Command and Control インフラについて、ミスコンフィグレーションのある Docker/Kubernetes インスタンスへの攻撃で知られる、TeamTNT などのグループとの重複があることを明らかにした。この、kiss.a-dog[.]top というドメインに由来する侵入は、2022年9月に発見されており、Base64 エンコードされた Python コマンドを用いて、侵入したコンテナでシェル・スクリプト・ペイロードを起動するものである。
Continue reading “Docker/Kubernetes の脆弱なインスタンスを狙う:Kiss-a-dog クリプトジャッキング”Thousands of GitHub repositories deliver fake PoC exploits with malware
2022/10/23 BleepingComputer — Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見した。それらのリポジトリには、マルウェアも含まれていたという。GitHub は最大のコード・ホスティング・プラットフォームの1つである。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしている。
Continue reading “GitHub に潜む偽 PoC エクスプロイト:騙されてマルウェアを配信される確率は 10.3%”Software Supply Chain Attacks Soar 742% in Three Years
2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。
Continue reading “OSS サプライチェーンの深刻な問題:3年間で 742% 急増した悪意のパッケージ”Toyota discloses data leak after access key exposed on GitHub
2022/10/10 BleepingComputer — トヨタ自動車株式会社は、約5年間にわたり GitHub 上でアクセス・キーが、誤って公開されていたことが判明したことで、顧客の個人情報が流出した可能性があるとして、警告を発している。トヨタ T-Connect は、トヨタ車のオーナーのスマートフォンと、車両のインフォテインメント・システムを連携させ、電話/音楽/ナビ/通知/走行データ/エンジン状態/燃費などの情報を活用するための、公式コネクティビティ・アプリである。
Continue reading “Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた”LofyGang Group Linked to Recent Software Supply Chain Attacks
2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。
Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”Auth0 warns that some source code repos may have been stolen
2022/09/28 BleepingComputer — 認証サービスプロバイダーであり、Okta の子会社でもある Auth0 は、同社のコード・リポジトリの一部に関わる、”Security Event” と呼ぶものを公表した。Auth0 の認証プラットフォームは、AMD/Siemens/Pfizer/Mazda/Subaru などを含む、30カ国 2000社以上の企業ユーザーにより、毎日 4200万回以上のログインの認証に使用されている。
Continue reading “Auth0 警告:2020年以前のコード・リポジトリが流出したが Okta には影響なし”Open Source Repository Attacks Soar 700% in Three Years
2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。
Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious
2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。
Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”Malicious PyPi packages turn Discord into password-stealing malware
2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。
Continue reading “PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す”RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers
2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。
Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”35,000 code repos not hacked—but clones flood GitHub to serve malware
2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。
Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”GitHub introduces 2FA and quality of life improvements for npm
2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。
Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”PyPI mandates 2FA for critical projects, developer pushes back
2022/07/09 BleepingComputer — 金曜日に、サードパーティのオープンソース Python プロジェクトための、公式リポジトリである Python Package Index (PyPI) は、重要なプロジェクトのメンテナに対して二要素認証 (2FA) を義務付ける計画を発表した。この動きに対して、多くのコミュニティ・メンバーが賞賛したが、ある人気 Python プロジェクトの開発者が、自分のプロジェクトに与えられた Critical ステータスを無効にするために、PyPI からコードを削除して再公開することになった。
Continue reading “PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も”NPM supply-chain attack impacts hundreds of websites and apps
2022/07/05 BleepingComputer — NPM のサプライチェーン攻撃は、2021年12月からたどる必要がある。そのとき、難読化された Javascript コードを含む、数十の悪意の NPMモジュールが用いられ、数百の下流にあるデスクトップ・アプリケーションと Web サイトが危険にさらされた。
Continue reading “NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード”GitHub: Attackers stole login details of 100K npm user accounts
2022/05/27 BleepingComputer — GitHub が明らかにしたのは、4月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。
Continue reading “GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明”Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware
2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。
Continue reading “偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式”GitHub can now auto-block commits containing API keys, auth tokens
2022/04/04 BleepingComputer — 月曜日に GitHub は、GitHub Advanced Security の顧客向けに、コード・ホスティング・プラットフォームのシークレット・スキャン機能を拡張し、秘密漏えいを自動的にブロックすると発表した。 シークレット・スキャンは、GitHub Enterprise Cloud を Advanced Security ライセンスで使用している組織が、リポジトリのスキャンに追加できる高度なオプションである。
Continue reading “GitHub にトークン保護機能が追加:リポジトリ・プッシュの前に自動判定”Travis CI Flaw Exposes Secrets of Thousands of Open Source Projects
2021/09/16 TheHackerNews — 継続的インテグレーション・ベンダーである Travis CI は、API keys/Access Tokens/Credentials が流出するという、深刻なセキュリティ上の欠陥を修正した。それに伴い、公開されたソースコード・リポジトリを使用する組織には、攻撃を受ける可能性が生じる。
Continue reading “Travis CI の脆弱性により膨大なオープンソース・プロジェクトから秘密が漏れる”
IoT OT Security News 