タグ: ソフトウェアサプライチェーン攻撃

cyberscoop.com

ソフトウェア開発界の「速度至上主義」がTeamPCPの破壊的な攻撃を可能にした経緯

TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。 わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジト

infosecurity-magazine.com

GitHubがソフトウェアサプライチェーン攻撃を阻止するためnpmを更新へ

npmは、ソフトウェアサプライチェーン攻撃を防ぐことを目的として、パッケージマネージャーの新バージョン(v12)を発表しました。 6月9日に公開されたブログ投稿の中で、Microsoft傘下のGitHubに所属するnpm開発チームは、パッケージマネージャーを暗黙の信頼モデルから明示的なオプトインモデルへと移行させる、セ

cyberpress.org

Ghidra・dnSpy・SpiderFootに偽装してマルウェアを拡散するハッカー集団

サイバーセキュリティの研究者や開発者が人気のオープンソースソフトウェアを検索する際、Googleの最初の検索結果を直感的に信頼してしまうことが少なくありません。 残念ながら、脅威アクターはこの信頼を積極的に悪用しており、Ghidra、dnSpy、SpiderFootといった著名なツールを装った、非常に精巧な偽サイトを

cyberpress.org

GitHub Actionsのスクリプトインジェクション脆弱性、38%の組織に影響

GitHub Actionsは、ソフトウェアサプライチェーン攻撃の主要な標的として急速に注目を集めています。新たに公開された2026年版 State of DevSecOpsレポートによると、実に38%の組織がスクリプトインジェクションや危険なトリガー設定ミスに対して脆弱なワークフローを抱えていることが明らかになりま

infosecurity-magazine.com

攻撃者はタイポスクワッティングを超え、リアルなパッケージなりすましへ

悪意のあるオープンソースパッケージの多くは、人気プロジェクト名の誤字を使う手法を脱却し、開発者のワークフローに自然に溶け込む、もっともらしいプラグイン・設定ファイル・ヘルパーを装うようになっている。 これは、4309件の悪意あるパッケージを分析したSon

gbhackers.com

JDownloaderウェブサイトのハック、WindowsおよびLinuxユーザーが悪意あるインストーラーに露出

数百万人に信頼される人気のオープンソースダウンロードマネージャーは、攻撃者が公式ウェブサイトを侵害し、正規インストーラーをWindowsおよびLinuxユーザーを対象とした不正版に置き換えた後、突然マルウェア配布プラットフォームとなってしまいました。 JDownloaderの開発者によって確認されたこのインシデント

meterpreter.org

Checkmarxが再び失敗:TeamPCPがJenkinsプラグインをハイジャックして開発者認証情報を窃取

正体不明の攻撃者がJenkinsのCheckmarxプラグインを悪用し、認証情報を流出させるための有害なコードを埋め込みました。この侵害は、TeamPCPとして知られる集団によって組織された、継続的なソフトウェアサプライチェーン攻撃の一連の最新版です。 Jenkinsは何千もの企業によってソフトウェアのコンパイル、テ