SentinelOne SDK を装う悪意の PyPI パッケージ:SentinelSneak はトロイの木馬

Malicious Python Trojan Impersonates SentinelOne Security Client

2022/12/20 DarkReading — 最新のサプライチェーン攻撃を仕掛ける未知の脅威アクターが、SentinelOne の人気のSDK (Software Development Kit) を装う、悪質な Python パッケージを作成しているようだ。月曜日にサイバー・セキュリティ企業 ReversingLabs が発表したアドバイザリによると、この SentinelSneak と名付けられたパッケージは、高機能な SentinelOne クライアントのように見えるものであり、Python コードの主要リポジトリである Python Package Index (PyPI) で、頻繁に更新されながら開発中であるとのことだ。

Continue reading “SentinelOne SDK を装う悪意の PyPI パッケージ:SentinelSneak はトロイの木馬”

OSS リポジトリを悪用するサプライチェーン攻撃が増加中:ReversingLabs レポート

Software Supply Chain Attacks Leveraging Open-Sources Repos Growing

2022/12/09 InfoSecurity — 12月5日に発表された ReversingLabs のレポート The State of Software Supply Chain Security によると、2020年から2022年初頭にかけて急激に増加したサプライチェーン攻撃は、緩やかながらも 2022年を通じて着実に増加しているようだ。同社の調査は、npm/PyPi/Ruby Gems などのオープンソース・リポジトリにアップロードされた、悪意のパッケージの件数を対象に行われた。

Continue reading “OSS リポジトリを悪用するサプライチェーン攻撃が増加中:ReversingLabs レポート”

RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化

RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers

2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。

Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”

NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード

NPM supply-chain attack impacts hundreds of websites and apps

2022/07/05 BleepingComputer — NPM のサプライチェーン攻撃は、2021年12月からたどる必要がある。そのとき、難読化された Javascript コードを含む、数十の悪意の NPMモジュールが用いられ、数百の下流にあるデスクトップ・アプリケーションと Web サイトが危険にさらされた。

Continue reading “NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード”

Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ

Log4j Highlights Need for Better Handle on Software Dependencies

2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。

Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”