タグ: 開発環境セキュリティ

darkreading.com

偽のバグレポートによる大規模AIコーディングエージェント乗っ取り

研究者たちが新たな証拠を示しました。AIコーディングエージェントが、認証情報の窃取やデータ改ざん、開発環境の侵害を狙う脅威アクターにとって、実行可能な攻撃対象になりつつあるということです。Tenet Securityが実施した研究では、攻撃者が公開されているバグトラッキングサービスに偽のエラーレポートを1件仕掛けるだけ

securityweek.com

数十年前のBashの仕掛けがAIコーディングエージェントをサプライチェーン攻撃に晒す

1989年にGNUがLinuxのオリジナルBourne Shellを書き直して生まれたBash(Bourne Again SHell)は、30年以上が経過した今もなお「Bashトリック」によって問題を引き起こす可能性があります。Adversa AIは、複数のオープンソースAIエージェントに構造的なセキュリティ上の欠陥

darkreading.com

ノボ ノルディスクの情報漏えいが示すソフトウェア開発パイプラインのリスク

ノボ ノルディスクで最近発生した大規模とみられる情報漏えいは、攻撃者が単一のGitHubアクセストークンを足がかりに侵入したと報告されており、コードリポジトリや開発者環境が、知的財産・認証情報・ソフトウェアサプライチェーン資産を狙う攻撃者にとっての主戦場となっている実態を改めて浮き彫りにしています。オゼンピックやウゴー

gbhackers.com

Mini Shai-Hulud、@antv npmパッケージを攻撃、CI/CDシークレットを狙う

広く使用されている@antv npmエコシステムを対象とした積極的で高度なサプライチェーン攻撃。脅威アクターは保守担当者アカウントを侵害し、機密CI/CDクレデンシャルを盗むように設計された悪意あるパッケージ更新をプッシュしました。 「Mini Shai-Hulud」と呼ばれるこのキャンペーンは、深く統合されたオー

cyberscoop.com

GitHubが毒性のあるVS Code拡張機能の攻撃により内部リポジトリが盗まれたと発表

GitHubは火曜日の遅い時間に、毒性のあるVisual Studio Code拡張機能を通じて従業員のデバイスが侵害されたため、内部リポジトリが流出したと述べました。このインシデントは、ソフトウェア開発プラットフォームと第三者製開発者ツールの周りに構築されたエコシステムが直面する増大するリスクを浮き彫りにしています

esecurityplanet.com

CISA GitHubリークがAWS GovCloudシークレットを露出

eSecurity Planetのコンテンツおよび製品の推奨は編集上独立しています。パートナーへのリンクをクリックすると、当社が報酬を得る場合があります。詳細を学ぶCISAの請負業者に関連する公開GitHubリポジトリが、機密のAWS GovCloud認証情報、平文パスワード、および内部デプロイメントファイルを露出さ

cyberscoop.com

Mini Shai-Hulud が再び出現、数百のnpmパッケージを侵害

Mini Shai-Huludとして知られる自己複製マルウェアキャンペーンが再び浮上し、今回は数百のnpmパッケージに組み込まれています。それを背後で操るTeamPCPと特定される脅威行為者は、同じキャンペーンの以前の波とリンクされており、この最新版は以前の波よりも機能が豊富です。 ペイロードを分析した研究者は、自律

cyberpress.org

Cursorの重大な脆弱性により、開発者ワークステーションがリモートコード実行にさらされる

Noveeのサイバーセキュリティ研究者が、広く使用されているAI搭載IDEのCursorにおいて、高度な重大度を持つ任意コード実行脆弱性を発見しました。 CVE-2026-26268として追跡されているこの欠陥により、攻撃者は開発者のマシンでリモートに悪意あるコードを実行できます。 この脆弱性はCursorのコア製品