GitHubがnpmインストールスクリプトの悪用を防ぐ自動制御機能を導入
GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能
GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能
npmは、二要素認証(2FA)を回避する細粒度の書き込みアクセストークンをすべて無効化しました。2026年5月19日に発表されたこのプラットフォーム全体の認証情報リセットは、JavaScriptエコシステムを標的とした大規模な「Mini Shai-Hulud」サプライチェーンキャンペーンを阻止することを目的としていま
Laravel-Lang組織によって保守されている4つの人気のあるComposerパッケージが、ハッカーがすべてのGitタグを書き直した後、マルウェアで汚染されたとセキュリティ研究者らが警告しています。 影響を受けたパッケージは、laravel-lang/lang、laravel-lang/http-statuse
洗練されたサプライチェーン蠕虫が2026年5月19日にnpmエコシステムを襲い、初めて1時間以内に数百のパッケージにわたる少なくとも633個の悪意のあるパッケージバージョンを侵害しました。 両方のパッケージは3年間休止状態にありました。02:06 UTCまでに、蠕虫は42個の確認済み悪意のあるパッケージを発行していま
Goエコシステムで非常に欺瞞的なソフトウェアサプライチェーン攻撃が発見されました。単純なタイポを武器化してDNSベースのバックドアを配布しています。 Socketのセキュリティ研究者は最近、github.com/shopsprint/decimalという名前の悪意のあるGoモジュールを発見しました。 このパッケージは
ハッカーは、npmを対象とした新しいサプライチェーン攻撃の中で、人気のあるプロセス間通信パッケージであるnode-ipcの新たに発行されたバージョンに認証情報を盗むマルウェアを注入しました。 node-ipcパッケージは、Unix、Windows、UDP、TLS、およびTCPを含むあらゆる形式のソケットを通じてさま
週822,000回以上ダウンロードされている信頼されたnpmパッケージが、洗練されたサプライチェーン攻撃で悪用され、JavaScriptデベロッパーコミュニティに衝撃が走った。 危険性が確認されたバージョン[email protected]、9.2.3、12.0.1は公開から数分以内にフラグが立てられたが、それでも無数の開
MCPサーバーをご存知ですか?AIアシスタントがメールを送信したり、データベースクエリを実行したり、基本的に手作業でやりたくないつまらない作業をすべて処理できる便利なツールです。さて、ここが問題です。十分に注目されていないことがあります。私たちはこれらのツールに神のようなパーミッションを与えています。出会ったこともな
概要 2026年4月下旬、「Mini Shai-Hulud」キャンペーンは、Python(Lightning(PyTorch Lightning))、Node.js(intercom-client)、PHPエコシステムにわたって広く使用されるパッケージを侵害し
深刻なサプライチェーン攻撃により、人気のあるPythonパッケージ Xinferenceが侵害され、開発者が大規模なデータ盗難にさらされています。 脅迫者は、難読化されたインフォステーラーをコードに埋め込み、このツールの悪質なバージョンをPython Package Index (PyPI)にアップロードしました。
すべての記事を読み込みました