タグ: 開発者向けセキュリティ

helpnetsecurity.com

MozillaがAIコーディングエージェントにおける間接プロンプトインジェクションのリスクを警告

悪意のあるコードを1行も含まない GitHubリポジトリが、開発者のマシンを密かに侵害できる——Mozilla のゼロデイ調査ネットワーク(0DIN)のセキュリティ研究者たちが、そのような警告を発しました。 攻撃の仕組み この概念実証(PoC)攻撃は、Claude Code などのAI搭載コーディング

securityweek.com

NPM 12、サプライチェーン攻撃防止に向けたスクリプト実行動作の変更へ

NPMエコシステムを狙ったサプライチェーン攻撃の急増を受け、GitHubは依存パッケージのスクリプトをデフォルトで実行しない方針を発表しました。 過去数カ月の間に相次いだ複数の重大インシデントは、主にTeamPCPおよび自己複製型ワームShai-Huludと関連しており、npm install実行時に依存パッケージの

cyberpress.org

GitHubがnpm v12でスクリプトの自動インストールを無効化、攻撃対策を強化

GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と

cyberpress.org

悪意のあるnpmパッケージ「dbmux」、システムを侵害するマルウェアで開発者を標的に

オープンソースソフトウェアのサプライチェーンで、また深刻なセキュリティ侵害が発生しました。2026年6月9日、セキュリティアナリストが広く利用されているnpmエコシステム内での深刻なマルウェア感染を公表しました。 dbmuxと特定されたこの悪意のあるパッケージは、ソフトウェア開発者のワークステーションへ不正アクセスす

csoonline.com

素早く、そして慎重にパッチを当てる:サプライチェーン攻撃に対抗するRuby開発者の新戦略

Rubyパッケージのホスティングサイト「RubyGems」の開発チームは、Rubyパッケージ(gem)を管理するツール「Bundler」に新機能を追加しました。これは最近相次ぐソフトウェアサプライチェーン攻撃から開発者を守ることを目的としており、更新されたばかりのパッケージをインストールするまでに一定の「冷却期間」を

cyberpress.org

悪意あるnpm RATキャンペーンが持続的なバックドアアクセスを提供

非常に高度なリモートアクセス型トロイの木馬(RAT)がnpmレジストリに再び出現し、開発者環境を侵害しようとする執拗な試みが続いていることが明らかになりました。 2026年5月4日にnpmセキュリティチームが元の悪意あるパッケージ「forge-jsx」を削除した後、脅威アクターはすぐにその後継パッケージ「forge-

esecurityplanet.com

CrowdStrikeがGlasswormサプライチェーンボットネットを壊滅

eSecurity Planet のコンテンツおよび製品推奨は編集上独立しています。パートナーへのリンクをクリックすると収益が発生する場合があります。 詳細はこちら CrowdStrikeは、侵害されたオープンソースパッケージ、悪意のあるVSCode拡張機能、および汚染されたGitHubリポジトリを通じてソフ

cyberpress.org

Mini Shai-Hulud マルウェアが@antv パッケージを標的にCI/CDシークレットを盗む

マイクロソフトの研究者が、人気のある@antv Node Package Manager(npm)エコシステムを標的とするアクティブなサプライチェーン攻撃を発見しました。 脅威アクターがメンテナーアカウントを侵害し、広く使用されているデータビジュアライゼーションライブラリを通じて「Mini Shai-Hulud」マル