Tag: RubyGems

npm の悪意のパッケージの新たな動向:Kubernetes コンフィグと SSH キーを盗み出す

Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys

2023/09/20 TheHackerNews — 侵害済のマシンからリモート・サーバへ向けて、Kubernetes のコンフィグと SSH キーを流出させるようにデザインされた、悪意のパッケージを連携させる新たなバッチを、研究者たちが npm パッケージ・レジストリで発見した。Sonatype は、これまでに14種類の npm パッケージを発見したと発表した。具体的には、@am-fe/hooks、@am-fe/provider、@am-fe/request、@am-fe/utils、@am-fe/watermark、@am-fe/watermark-core、@dynamic-form-components/mui、@dynamic-form-components/shineout、@expue/app、@fixedwidthtable/fixedwidthtable、@soc-fe/use、@spgy/eslint-plugin-spgy-fe、@virtualsearchtable/virtualsearchtable、shineouts などである。

Continue reading “npm の悪意のパッケージの新たな動向:Kubernetes コンフィグと SSH キーを盗み出す”

GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応

GitHub to require all users to enable 2FA by the end of 2023

2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。

Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”

API Token が脅かすソフトウェアの完全性:数千件が Web 上で公開されている

Thousands of Publicly Exposed API Tokens Could Threaten Software Integrity

2022/10/21 InfoSecurity — 機密情報/データ/プライベート・ネットワークなどへのアクセスを脅威アクターに許し、ソフトウェアの完全性を脅かしてしまう数千のアクティブな API Token が、Web 上で公開されていることが発見された。この結果は、JFrog のセキュリティ研究者たちが、同社のセキュリティ・ソリューションの新機能をテストしている際に発見されたものだ。

Continue reading “API Token が脅かすソフトウェアの完全性:数千件が Web 上で公開されている”

Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?

Malicious NPM Package Caught Mimicking Material Tailwind CSS Package

2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。

Continue reading “Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?”

RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化

RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers

2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。

Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”

悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる

Malicious PyPI packages hijack dev devices to mine cryptocurrency

2021/06/22 BleepingComputer — 今週のこと、複数の悪意のパッケージが PyPI の Python Project リポジトリに取り込まれ、開発者のワークステーションを暗号マイニング・マシンに変えてしまった。すべての悪意のパッケージは、同じアカウントで公開されており、正規の Python Project 名を誤魔化して使うことで、開発者を騙して何千回もダウンロードさせてた。

Continue reading “悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる”

GitHub の秘密のスキャンが PyPI や RubyGems の安全性を護る

GitHub now scans for accidentally-exposed PyPI, RubyGems secrets

2021/06/09 BleepingComputer — 最近の GitHub は、PyPI と RubyGems のレジストリにおける機密情報を含むリポジトリに対して、スキャン機能を拡張している。それにより、Ruby や Python の開発者が作成した、何百万ものアプリケーションの保護が実現される。つまり、開発者たちは、GitHub の公開リポジトリの中に、何らかの機密情報や認証情報を不用意にコミットしている可能性があるのだ。

Continue reading “GitHub の秘密のスキャンが PyPI や RubyGems の安全性を護る”

Fastly CDN の障害により数多くの Web サイトがダウン

StackOverflow, Twitch, Reddit, others down in Fastly CDN outage

2021/06/08 BleepingComputer — グローバル・ネットワークの停止により、世界中の主要な Web サイトが完全にダウンし、また、正しくコンテンツを読み込めないという状況に陥った。BleepingComputerによると、この記事を執筆された 6月8日の時点で、影響を受けているサイトは以下の通りとなる。

Continue reading “Fastly CDN の障害により数多くの Web サイトがダウン”

Python の公式レポジトリ PyPI にスパム・パッケージが隠れている

Spammers flood PyPI with pirated movie links and bogus packages

2021/05/21 BleepingComputer — Python ソフトウェア・パッケージの公式レポジトリである PyPI に、スパム・パッケージが殺到していると、BleepingComputer は認識している。これらのスパム・パッケージは、海賊版コンテンツを扱う Torrent や Warez などに見られるスタイルと同様に、さまざまな映画の名前が付けられている。また、それぞれが、固有の偽名のメンテナー・アカウントにより投稿されているため、PyPI によるパッケージとスパム・アカウントの一括削除が困難になっている。

Continue reading “Python の公式レポジトリ PyPI にスパム・パッケージが隠れている”