Mini Shai-Hulud、@antv npmパッケージを攻撃、CI/CDシークレットを狙う
広く使用されている@antv npmエコシステムを対象とした積極的で高度なサプライチェーン攻撃。脅威アクターは保守担当者アカウントを侵害し、機密CI/CDクレデンシャルを盗むように設計された悪意あるパッケージ更新をプッシュしました。 「Mini Shai-Hulud」と呼ばれるこのキャンペーンは、深く統合されたオー
広く使用されている@antv npmエコシステムを対象とした積極的で高度なサプライチェーン攻撃。脅威アクターは保守担当者アカウントを侵害し、機密CI/CDクレデンシャルを盗むように設計された悪意あるパッケージ更新をプッシュしました。 「Mini Shai-Hulud」と呼ばれるこのキャンペーンは、深く統合されたオー
概要 2026年4月下旬、「Mini Shai-Hulud」キャンペーンは、Python(Lightning(PyTorch Lightning))、Node.js(intercom-client)、PHPエコシステムにわたって広く使用されるパッケージを侵害し
悪意のあるnpmパッケージjs-logger-pack(バージョン1.1.27まで)は進化し、Hugging Faceを二重脅威プラットフォームに変えました。初期ペイロード用のマルウェアCDNであり、現在は盗まれたデータを流出させるためのバックエンドです。 JFrog Securityの研究者がキャンペーンを分析し、
脅威アクターはオープンソースメンテナーをターゲットにして、最も人気のあるnpmパッケージの1つを乗っ取り、リモートアクセストロイの木馬(RAT)を拡散しました。 Axiosは週に1億回以上ダウンロードされるJavaScriptライブラリで、数えきれないほどの開発環境とCI/CDパイプラインで依存関係として使用されていま
出典:chris brignell via Alamy Stock PhotoAxios JavaScriptのNPMパッケージが最近侵害され、最近数ヶ月間にオープンソース開発エコシステムに対する最も影響力の大きいサプライチェーン攻撃の一つを表しています。Axiosは最も人気のあるJavaScript HTTPクライア
研究者が確認したところ、侵害されたAxiosバージョンがリモートアクセストロージャンをインストールしていました。 Axiosはnode.js用のプロミスベースHTTPクライアントで、基本的には開発者がアプリケーションをインターネットと通信させるために使用する補助ツールです。例えば、Axiosは「サーバーからメッセ
複数の大規模言語モデルにアクセスするためのオープンソースインターフェースであるL...
新しいソフトウェアサプライチェーンキャンペーンが、PylangGhostリモート...