ソフトウェア開発界の「速度至上主義」がTeamPCPの破壊的な攻撃を可能にした経緯
TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。 わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジト
TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。 わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジト
npmは、ソフトウェアサプライチェーン攻撃を防ぐことを目的として、パッケージマネージャーの新バージョン(v12)を発表しました。 6月9日に公開されたブログ投稿の中で、Microsoft傘下のGitHubに所属するnpm開発チームは、パッケージマネージャーを暗黙の信頼モデルから明示的なオプトインモデルへと移行させる、セ
サイバーセキュリティの研究者や開発者が人気のオープンソースソフトウェアを検索する際、Googleの最初の検索結果を直感的に信頼してしまうことが少なくありません。 残念ながら、脅威アクターはこの信頼を積極的に悪用しており、Ghidra、dnSpy、SpiderFootといった著名なツールを装った、非常に精巧な偽サイトを
GitHub Actionsは、ソフトウェアサプライチェーン攻撃の主要な標的として急速に注目を集めています。新たに公開された2026年版 State of DevSecOpsレポートによると、実に38%の組織がスクリプトインジェクションや危険なトリガー設定ミスに対して脆弱なワークフローを抱えていることが明らかになりま
Rapid7がGitサービスの脆弱性を発見してから2ヶ月が経過するが、プロジェクトのメンテナーはいまだパッチを適用していない。 オープンソースのGogs Gitサービスで新たに発見された未修正の重大な脆弱性は、開発者にコードを
悪意のあるオープンソースパッケージの多くは、人気プロジェクト名の誤字を使う手法を脱却し、開発者のワークフローに自然に溶け込む、もっともらしいプラグイン・設定ファイル・ヘルパーを装うようになっている。 これは、4309件の悪意あるパッケージを分析したSon
執筆者 CrowdStrike、Google、Shadowserver Foundationが参加した業界連携の取り組みにより、Glasswormボットネットの活動が阻止された。 3つの組織が協力
出典:Oleksandr Perepelytsia、Alamy Stock Photo提供TeamPCPはShai-Huludをきっかけにオープンソースコミュニティの厄介者として名を馳せてきたが、このグループの攻撃歴は「高度な脅威アクター」というより「たまたまその場にいた」幸運によるものに近い。金銭的動機を持つ脅威アク
数百万人に信頼される人気のオープンソースダウンロードマネージャーは、攻撃者が公式ウェブサイトを侵害し、正規インストーラーをWindowsおよびLinuxユーザーを対象とした不正版に置き換えた後、突然マルウェア配布プラットフォームとなってしまいました。 JDownloaderの開発者によって確認されたこのインシデント
正体不明の攻撃者がJenkinsのCheckmarxプラグインを悪用し、認証情報を流出させるための有害なコードを埋め込みました。この侵害は、TeamPCPとして知られる集団によって組織された、継続的なソフトウェアサプライチェーン攻撃の一連の最新版です。 Jenkinsは何千もの企業によってソフトウェアのコンパイル、テ
すべての記事を読み込みました