タグ: パッケージマネージャー

cyberpress.org

GNU Guixの脆弱性、リモートでの権限昇格とストア破損を引き起こす恐れ

GNU Guixに複数の重大なセキュリティ脆弱性が発見されました。悪意ある代替サーバーやネットワーク攻撃者がこれを悪用すると、リモートでの権限昇格やGuixストアの破損を引き起こしたり、ローカルの機密ファイルを露出させたりする恐れがあります。 これらの脆弱性はguix-daemonが使用するguix substitu

helpnetsecurity.com

HomebrewがTapのセキュリティを強化、公式インターフェース開発にも着手

サードパーティのHomebrewタップ経由でソフトウェアをインストールする場合、プロジェクト外部の人物が書いたRubyコードがサンドボックスなしで実行されます。このリスクこそが、Homebrew 6.0.0の中心的な課題となっています。 タップの信頼性管理 Homebrewは、タップおよびタップ修飾

infosecurity-magazine.com

GitHubがソフトウェアサプライチェーン攻撃を阻止するためnpmを更新へ

npmは、ソフトウェアサプライチェーン攻撃を防ぐことを目的として、パッケージマネージャーの新バージョン(v12)を発表しました。 6月9日に公開されたブログ投稿の中で、Microsoft傘下のGitHubに所属するnpm開発チームは、パッケージマネージャーを暗黙の信頼モデルから明示的なオプトインモデルへと移行させる、セ

cyberpress.org

AIが生成したnpmマルウェアにより脅威アクター自身のGitHubトークンが流出

オープンソースソフトウェアのサプライチェーンが、またも奇妙で杜撰な攻撃に晒されている。OX Securityのサイバーセキュリティ研究者らは、機密性の高いユーザーデータを窃取してリモートリポジトリにアップロードするよう設計された悪意あるnpmパッケージを発見した。 しかしこの攻撃は予想外の展開を見せた。脅威アクター自

meterpreter.org

RubyGemsが攻撃下に:大規模マルウェア侵入後、新規アカウント登録を一時停止

RubyGemsは、Rubyエコシステムへの広範な攻撃を受けて、新規アカウント登録を一時的に停止しました。調査者によると、悪意のある行為者は数百の有害なパッケージを配布しました。その中には特定の企業を侵害するように調整されたものもあれば、より広範な悪用のための多目的な手段として機能するものもありました。 この侵害は、

koi.ai

Brew ハイジャック:HomebrewのCore Tapを悪用したマルウェア配布

ソフトウェアをインストールするとき、多くの人はその安全性についてあまり深く考えないものです。ファイルはHTTPSでダウンロードされ、チェックサムも検証される。すべては安全なはず——少なくとも、そう思い込んでいます。それ自体は悪いことではありません。もしダウンロードのたびに傍受のリスクがあり、バイナリが警告なしに差し替え