タグ: パッケージセキュリティ

gbhackers.com

GitHubがnpmインストールスクリプトの悪用を防ぐ自動制御機能を導入

GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能

cyberpress.org

npmが2FA回避トークンを無効化、「Mini Shai-Hulud」サプライチェーン攻撃を受け

npmは、二要素認証(2FA)を回避する細粒度の書き込みアクセストークンをすべて無効化しました。2026年5月19日に発表されたこのプラットフォーム全体の認証情報リセットは、JavaScriptエコシステムを標的とした大規模な「Mini Shai-Hulud」サプライチェーンキャンペーンを阻止することを目的としていま

cyberpress.org

600以上のnpmパッケージが「ミニシャイフルド」サプライチェーン攻撃で被害

洗練されたサプライチェーン蠕虫が2026年5月19日にnpmエコシステムを襲い、初めて1時間以内に数百のパッケージにわたる少なくとも633個の悪意のあるパッケージバージョンを侵害しました。 両方のパッケージは3年間休止状態にありました。02:06 UTCまでに、蠕虫は42個の確認済み悪意のあるパッケージを発行していま

cyberpress.org

単一文字のGoモジュール タイポスクワットがDNSベースのバックドアを拡散

Goエコシステムで非常に欺瞞的なソフトウェアサプライチェーン攻撃が発見されました。単純なタイポを武器化してDNSベースのバックドアを配布しています。 Socketのセキュリティ研究者は最近、github.com/shopsprint/decimalという名前の悪意のあるGoモジュールを発見しました。 このパッケージは

bleepingcomputer.com

人気のあるnode-ipc npmパッケージが認証情報を盗むために侵害された

ハッカーは、npmを対象とした新しいサプライチェーン攻撃の中で、人気のあるプロセス間通信パッケージであるnode-ipcの新たに発行されたバージョンに認証情報を盗むマルウェアを注入しました。 node-ipcパッケージは、Unix、Windows、UDP、TLS、およびTCPを含むあらゆる形式のソケットを通じてさま

cyberpress.org

822K回ダウンロードのnode-ipcパッケージがサプライチェーン侵害で危険化

週822,000回以上ダウンロードされている信頼されたnpmパッケージが、洗練されたサプライチェーン攻撃で悪用され、JavaScriptデベロッパーコミュニティに衝撃が走った。 危険性が確認されたバージョン[email protected]、9.2.3、12.0.1は公開から数分以内にフラグが立てられたが、それでも無数の開

koi.ai

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

MCPサーバーをご存知ですか?AIアシスタントがメールを送信したり、データベースクエリを実行したり、基本的に手作業でやりたくないつまらない作業をすべて処理できる便利なツールです。さて、ここが問題です。十分に注目されていないことがあります。私たちはこれらのツールに神のようなパーミッションを与えています。出会ったこともな

gbhackers.com

Xinferenceの PyPI 漏洩により開発者がクラウド認証情報盗難にさらされる

深刻なサプライチェーン攻撃により、人気のあるPythonパッケージ Xinferenceが侵害され、開発者が大規模なデータ盗難にさらされています。 脅迫者は、難読化されたインフォステーラーをコードに埋め込み、このツールの悪質なバージョンをPython Package Index (PyPI)にアップロードしました。