TokyoBlackHatNews

タグ: 開発者ツール

gbhackers.com

binding.gypを悪用したサプライチェーン攻撃、数十のnpmパッケージに被害

2026年6月3日、2時間以内という短時間で展開された組織的な攻撃により、大規模なnpmサプライチェーン攻撃が発生し、少なくとも57のパッケージが286以上の悪意あるバージョンを通じて侵害されました。 攻撃はUTC 23:30頃、月間ダウンロード数40万8,000件以上を誇るVapi.aiの公式ボイスAI SDK「@
gbhackers.com

信頼された開発者ツールがコードと機密情報の窃取に悪用される

攻撃者はソフトウェアサプライチェーンに侵入するために信頼された開発者ツールを武器化するケースが増加しており、CISAはCI/CDエコシステムと開発者ワークフローを標的とした複数の継続的なキャンペーンについて警告を発している。 最近の事例には、侵害されたVisual Studio Codeの拡張機能と「Megalodo
helpnetsecurity.com

Claudeがコードを書きながら脆弱性をレビュー・修正するようになった

Anthropicは、Claude Code向けのセキュリティガイダンスプラグインを発表した。このプラグインはコード変更を一般的な脆弱性についてレビューし、同じ開発セッション中にClaudeが問題を特定・修正するのを支援する。 同社によると、このプラグインはインジェクションの欠陥、安全でないデシリア
cyberpress.org

Claude Codeが脆弱性検出のための無料セキュリティプラグインを取得

Anthropicは、Claude Codeターミナルツール向けに専用のセキュリティガイダンスプラグインを公開した。これによりリアルタイムかつセッション内での脆弱性検出と修正が可能となり、コードがプルリクエストに到達する前にセキュリティをシフトレフトできる。 このプラグインは現在、すべてのClaudeプランの全ユーザ
meterpreter.org

1兆パラメータ・エンジニア:MuskがCursor Coding Dataを搭載したGrok V9-Mediumを発表

Elon Muskは最近、xAIに関する興奮冷めやらぬニュースを開示した。同社は今後2〜3週間以内に新しいフロンティアモデルをリリースすることを予定している。Grok V9-Mediumというコードネームを持つこの強力なアーキテクチャは、1.5兆パラメータという膨大な規模を誇っている。したがって、現在配備されているG
gbhackers.com

Mini Shai-Hulud攻撃によりnpmが2FAバイパストークンの取り消しを実施

「Mini Shai-Hulud」キャンペーンに関連したサプライチェーン攻撃の波により数百のJavaScriptパッケージが危険にさらされた後、npmはプラットフォーム全体で二要素認証(2FA)をバイパスする細かいアクセストークンのリセットを強制しました。 5月19日に実施された緊急措置により、2FAなしで公開を許可
therecord.media

GitHubがTeamPCPによるハッキング被害を確認、顧客データへの影響なし

GitHubは水曜日、ハッキンググループが有毒なソフトウェア拡張機能を通じて従業員のデバイスを侵害した後、数千の内部コードリポジトリへの不正アクセスを調査していると述べました。 これはTeamPCPによる最新の攻撃で、同グループは3月以来、ターゲットがTanStack、Trivy、LiteLLMを含むデベロッパーツ
bleepingcomputer.com

GitHubが悪意あるVSCode拡張機能経由での3,800個のリポジトリ侵害を確認

GitHubは、従業員の1人が悪意あるVS Code拡張機能をインストールした後、約3,800個の内部リポジトリが侵害されたことを確認しました。 同社はその後、名前のないトロイの木馬化された拡張機能をVS Codeマーケットプレイスから削除し、侵害されたデバイスを保護しました。 「昨日、毒入りVS Code拡張機能
meterpreter.org

Mini Shai-Hulud アラート: TeamPCP が @tanstack と PyPI をハイジャックして 1200万の週間ダウンロードを汚染

Mini Shai-Hulud による侵害は、ソフトウェア供給チェーンに再び包囲を敷きました。初期の攻撃は主に SAP モジュールを標的としていましたが、この悪質なアーキテクチャはその後、開発者が最も重視する認証情報が存在するリポジトリを特に侵害する、数百の汚染されたバージョンに転移しました。 その後の波は npm