GitHubがサプライチェーン攻撃対策としてnpmのセキュリティ仕様変更を発表
GitHubは、来月リリース予定のnpm v12において、「npm install」コマンド実行時の動作を悪用したサプライチェーン攻撃をブロックすることを目的とした、セキュリティ重視の複数の変更を導入すると発表しました。 「npm install」は、プロジェクトの依存関係をダウンロード・インストールし、各パッケージ
タグ: 依存関係管理
EmphereがAI搭載の脆弱性修復プラットフォームで210万ドルの資金調達を発表
シアトルに拠点を置くサイバーセキュリティスタートアップのEmphereは、AI駆動の脆弱性修復プラットフォームの開発において、AI2 IncubatorおよびOutsiders Fundから210万ドルのプレシード資金を調達したと今週発表しました。 同社の脆弱性修復へのアプローチは、現代のソフトウェア開発トレンドと軌
GitHub Actionsのスクリプトインジェクション脆弱性、38%の組織に影響
GitHub Actionsは、ソフトウェアサプライチェーン攻撃の主要な標的として急速に注目を集めています。新たに公開された2026年版 State of DevSecOpsレポートによると、実に38%の組織がスクリプトインジェクションや危険なトリガー設定ミスに対して脆弱なワークフローを抱えていることが明らかになりま
AIがコーディングを加速する中、CVE Lite CLIはセキュリティを意図的にAI無しに保つ
OWASP支援のツールがJavaScriptとTypeScriptのロックファイルをローカルでスキャンし、開発者がCI失敗前に依存関係のリスクを検出し修復するのを支援することを目指しています。 AI開発アシスタントがソフトウェア開発
ハッカーがSSH風のパッケージファイル名にLinuxマルウェアを隠す
ハッカーがソフトウェアのインストール時にSSH風のファイル名でマルウェアペイロードを隠しており、開発者エコシステムを狙った組織的なサプライチェーン攻撃の一部であることが確認されています。 この攻撃は、PHPの環境で使用される予定のcomposer.jsonではなく、package.json内に隠された自動実行スクリプ
Mini Shai-Hulud、AntVエコシステムの数百個のnpmパッケージを攻撃
Mini Shai-Huludワームが、これまでで最大規模の単一レジストリウェーブの1つとして再び現れ、AntVデータビジュアライゼーションエコシステムに関連する数百個のnpmパッケージを、約1時間続いた協調的な攻撃で襲撃しました。 Socketの脅威研究チームによる新しい分析によると、攻撃は5月19日協定世界時01時
CVE Lite CLI: オープンソース依存関係脆弱性スキャナー
JavaScriptおよびTypeScriptプロジェクトにおける依存関係脆弱性スキャンは、長きにわたって開発パイプラインの終端に位置してきました。プルリクエストが開かれ、継続的インテグレーションが実行され、セキュリティスキャナーがCVE識別子のリストを返し、開発者はコード作成から数時間または数日後にそれらをトリア
悪意のあるClaude生成コミットが暗号資産取引ツールをターゲット
人工知能は開発者がコードを書く方法を変えていますが、脅威アクターはこれらの自動ワークフローを操作する方法をすぐに学んでいます。 最近発見されたサプライチェーン攻撃では、Anthropicの Claude Opus AIモデルが悪意のあるパッケージを依存関係として追加した後、自律的な暗号資産取引プロジェクトが侵害されま
Cloudsmithが Series C 資金調達で 7,200 万ドルを調達
アーティファクト管理プラットフォームのCloudsmithは本日、Series C 資金調達ラウンドで 7,200 万ドルを調達したことを発表しました。これにより、同社が調達した総額は 1 億 2,400 万ドルになります。 新しい投資ラウンドはTCVがリードし、Insight Partnersおよび他の既存投資家
精密攻撃でAxios NPMパッケージが侵害される
出典:chris brignell via Alamy Stock PhotoAxios JavaScriptのNPMパッケージが最近侵害され、最近数ヶ月間にオープンソース開発エコシステムに対する最も影響力の大きいサプライチェーン攻撃の一つを表しています。Axiosは最も人気のあるJavaScript HTTPクライア
すべての記事を読み込みました