Atomic Arch サプライチェーン攻撃、AURパッケージ1,500件以上に影響
Arch Linuxは月曜日、進行中のサプライチェーン攻撃の一環として大量の悪意あるパッケージが公開されたことを受け、Arch User Repository(AUR)への新規アカウント登録を一時停止すると発表しました。 AURはコミュニティ主導のリポジトリで、公式リポジトリに収録されていないソフトウェアのビルドスク
Arch Linuxは月曜日、進行中のサプライチェーン攻撃の一環として大量の悪意あるパッケージが公開されたことを受け、Arch User Repository(AUR)への新規アカウント登録を一時停止すると発表しました。 AURはコミュニティ主導のリポジトリで、公式リポジトリに収録されていないソフトウェアのビルドスク
MCPサーバーはご存じですよね。AIアシスタントがメール送信やデータベースクエリの実行など、手動でやりたくない面倒な作業を代わりに処理してくれる便利なツールです。しかし、あまり語られていない重大な問題があります。私たちはこれらのツールに「神モード」の権限を与えているのです。会ったこともない人々が作ったツールに。素性を確
GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と
GitHubは、来月リリース予定のnpm v12において、「npm install」コマンド実行時の動作を悪用したサプライチェーン攻撃をブロックすることを目的とした、セキュリティ重視の複数の変更を導入すると発表しました。 「npm install」は、プロジェクトの依存関係をダウンロード・インストールし、各パッケージ
ハッカーたちは「TrapDoor」と名付けられた大規模なサプライチェーン攻撃を通じて、オープンソースエコシステムを悪用し、開発者の機密データを積極的に窃取しています。 この攻撃キャンペーンはnpm、PyPI、Crates.ioにまたがり、34個の悪意あるパッケージと384バージョンを利用して、暗号通貨、DeFi、AI
depthfirstは「Dependency Firewall」を発表しました。これは企業内でダウンロードされるすべてのオープンソースパッケージを検査し、リクエスト元の人物やシステムに届く前に悪意あるものをブロックするプロダクトです。開発者やAIエージェント、ClaudeやCodexといったAIツール
悪意のあるオープンソースパッケージの多くは、人気プロジェクト名の誤字を使う手法を脱却し、開発者のワークフローに自然に溶け込む、もっともらしいプラグイン・設定ファイル・ヘルパーを装うようになっている。 これは、4309件の悪意あるパッケージを分析したSon
広く使用されている@antv npmエコシステムを対象とした積極的で高度なサプライチェーン攻撃。脅威アクターは保守担当者アカウントを侵害し、機密CI/CDクレデンシャルを盗むように設計された悪意あるパッケージ更新をプッシュしました。 「Mini Shai-Hulud」と呼ばれるこのキャンペーンは、深く統合されたオー
脅威アクターがStrapi エコシステムを狙った新たな供給チェーン攻撃を仕掛けており、36 個の悪意あるNPM パッケージが関与していることが、供給チェーンセキュリティ企業SafeDep によって明らかにされました。 Node.js 上に構築されたオープンソースのヘッドレスCMS であるStrapi は、開発者がウ
偽のHTTPクライアントパッケージを悪用して、強力なRATとステルスブラウザスティーラーの両方を配信する非常に高度なnpmサプライチェーン攻撃。 悪意のあるパッケージである[email protected]は、Node.jsプロジェクトで広く使用されている公式HTTPクライアントのundicīを装ってnpmにアップロ
すべての記事を読み込みました