タグ: 開発者セキュリティ

infosecurity-magazine.com

JetBrains MarketplaceプラグインがAPIキーを窃取、15件が発覚

セキュリティ研究者らが、悪意あるプラグインを通じて開発者のAI関連APIキーを窃取しようとする組織的なキャンペーンを発見しました。 Aikido Securityは、JetBrains Marketplaceにおいてセキュリティチェックをすり抜けた少なくとも15件の統合開発環境(IDE)プラグインを確認しました。これら

cyberpress.org

JetBrainsの悪意あるプラグイン、開発者のAI APIキーを窃取

JetBrains Marketplaceにおいて、組織的なマルウェアキャンペーンが発覚しました。7つのベンダーアカウントから公開された少なくとも15本のIDEプラグインが、開発者のAIプロバイダーAPIキーを密かに窃取していたことが明らかになっています。 合計インストール数が7万件近くに達するこのキャンペーンは、近

News

GitHubがソフトウェアサプライチェーン攻撃を阻止するためnpmを更新へ

npmは、ソフトウェアサプライチェーン攻撃を防ぐことを目的として、パッケージマネージャーの新バージョン(v12)を発表しました。 6月9日に公開されたブログ投稿の中で、Microsoft傘下のGitHubに所属するnpm開発チームは、パッケージマネージャーを暗黙の信頼モデルから明示的なオプトインモデルへと移行させる、セ

cyberpress.org

Solana FakeFix キャンペーン:npmとPyPIに25個の悪意あるパッケージを展開し開発者の機密情報を窃取

JFrog Security Researchはこのほど、「Solana FakeFix」と呼ばれる高度な脅威キャンペーンを発見しました。脅威アクターはnpmおよびPyPIエコシステムに25個の悪意あるパッケージを展開し、開発者環境への侵害を狙っています。 これらのパッケージは安定版ビルドの修正や公式SDKツールを装

cyberpress.org

「parsimonious」を騙る偽Pythonパッケージ、パッケージリポジトリ経由でマルウェアを拡散

脅威アクターが人気のオープンソースリポジトリへの侵入方法を次々と編み出すなか、ソフトウェアサプライチェーン攻撃は開発者エコシステムへの脅威であり続けています。 最近の調査では、ThreatLabzのセキュリティ研究者がPython Package Index(PyPI)上で悪意あるパッケージを発見しました。巧妙な偽装

cyberpress.org

Google Sitesを悪用したClaude Codeなりすましキャンペーン、開発者のログイン情報を狙う

サイバーセキュリティ研究者らが、ClickFixマルウェアキャンペーンの高度な新たな波を発見しました。このキャンペーンは、ソフトウェア開発者や技術系専門家を標的にしています。 脅威アクターは、AnthropicのClaudeやOpenAIのCodexといった人気のAIツールになりすますことで、信頼されたインフラを悪用

gbhackers.com

Chrome ウェブストアの著作権警告を偽装してGoogleアカウントを狙うフィッシング攻撃

ハッカーがChrome拡張機能の開発者を標的に、巧妙なフィッシングキャンペーンを展開しています。このキャンペーンでは、Chrome ウェブストアの公式著作権侵害通知を装い、Googleアカウントの認証情報を窃取することで、広く利用されているブラウザ拡張機能を不正に乗っ取ることを狙っています。 被害者には「48時間以内

malwarebytes.com

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

Chromeの拡張機能を公開している開発者を狙った新たな詐欺が確認されています。 この詐欺は、公式らしい見た目の「著作権侵害による削除請求」というメールとして届きます。「あなたの拡張機能はChromeウェブストアから削除される予定です。異議申し立ては48時間以内に行ってください」という内容です。 さらに、個人に向

techradar.com

CISAが警告:Nx ConsoleとGitHubリポジトリが複数のサプライチェーン侵害に悪用される — 多数のツールに影響…

CISAは、悪意あるNx Console VSCode拡張機能とMegalodonキャンペーンを通じてGitHubリポジトリを悪用する継続中のサプライチェーン攻撃に関する警告を発出した脅威アクターはワークフローを汚染することでCI/CDシークレット、クラウド認証情報、トークンを窃取し、CISAはコントリビュ

infosecurity-magazine.com

攻撃者はタイポスクワッティングを超え、リアルなパッケージなりすましへ

悪意のあるオープンソースパッケージの多くは、人気プロジェクト名の誤字を使う手法を脱却し、開発者のワークフローに自然に溶け込む、もっともらしいプラグイン・設定ファイル・ヘルパーを装うようになっている。 これは、4309件の悪意あるパッケージを分析したSon