タグ: 悪意あるパッケージ

securityweek.com

Atomic Arch サプライチェーン攻撃、AURパッケージ1,500件以上に影響

Arch Linuxは月曜日、進行中のサプライチェーン攻撃の一環として大量の悪意あるパッケージが公開されたことを受け、Arch User Repository(AUR)への新規アカウント登録を一時停止すると発表しました。 AURはコミュニティ主導のリポジトリで、公式リポジトリに収録されていないソフトウェアのビルドスク

koi.ai

初めて確認された悪意あるMCP:あなたのメールを盗み続けるPostmarkバックドア

MCPサーバーはご存じですよね。AIアシスタントがメール送信やデータベースクエリの実行など、手動でやりたくない面倒な作業を代わりに処理してくれる便利なツールです。しかし、あまり語られていない重大な問題があります。私たちはこれらのツールに「神モード」の権限を与えているのです。会ったこともない人々が作ったツールに。素性を確

cyberpress.org

GitHubがnpm v12でスクリプトの自動インストールを無効化、攻撃対策を強化

GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と

bleepingcomputer.com

GitHubがサプライチェーン攻撃対策としてnpmのセキュリティ仕様変更を発表

GitHubは、来月リリース予定のnpm v12において、「npm install」コマンド実行時の動作を悪用したサプライチェーン攻撃をブロックすることを目的とした、セキュリティ重視の複数の変更を導入すると発表しました。 「npm install」は、プロジェクトの依存関係をダウンロード・インストールし、各パッケージ

gbhackers.com

34個の悪意あるパッケージがクラウドキー・ウォレット・SSH認証情報を窃取

ハッカーたちは「TrapDoor」と名付けられた大規模なサプライチェーン攻撃を通じて、オープンソースエコシステムを悪用し、開発者の機密データを積極的に窃取しています。 この攻撃キャンペーンはnpm、PyPI、Crates.ioにまたがり、34個の悪意あるパッケージと384バージョンを利用して、暗号通貨、DeFi、AI

helpnetsecurity.com

depthfirst、悪意ある依存パッケージに対するインストール前保護機能を追加

depthfirstは「Dependency Firewall」を発表しました。これは企業内でダウンロードされるすべてのオープンソースパッケージを検査し、リクエスト元の人物やシステムに届く前に悪意あるものをブロックするプロダクトです。開発者やAIエージェント、ClaudeやCodexといったAIツール

infosecurity-magazine.com

攻撃者はタイポスクワッティングを超え、リアルなパッケージなりすましへ

悪意のあるオープンソースパッケージの多くは、人気プロジェクト名の誤字を使う手法を脱却し、開発者のワークフローに自然に溶け込む、もっともらしいプラグイン・設定ファイル・ヘルパーを装うようになっている。 これは、4309件の悪意あるパッケージを分析したSon

gbhackers.com

Mini Shai-Hulud、@antv npmパッケージを攻撃、CI/CDシークレットを狙う

広く使用されている@antv npmエコシステムを対象とした積極的で高度なサプライチェーン攻撃。脅威アクターは保守担当者アカウントを侵害し、機密CI/CDクレデンシャルを盗むように設計された悪意あるパッケージ更新をプッシュしました。 「Mini Shai-Hulud」と呼ばれるこのキャンペーンは、深く統合されたオー

securityweek.com

Guardarian ユーザーが悪意あるStrapi NPM パッケージで狙われる

脅威アクターがStrapi エコシステムを狙った新たな供給チェーン攻撃を仕掛けており、36 個の悪意あるNPM パッケージが関与していることが、供給チェーンセキュリティ企業SafeDep によって明らかにされました。 Node.js 上に構築されたオープンソースのヘッドレスCMS であるStrapi は、開発者がウ