MozillaがAIコーディングエージェントにおける間接プロンプトインジェクションのリスクを警告
悪意のあるコードを1行も含まない GitHubリポジトリが、開発者のマシンを密かに侵害できる——Mozilla のゼロデイ調査ネットワーク(0DIN)のセキュリティ研究者たちが、そのような警告を発しました。 攻撃の仕組み この概念実証(PoC)攻撃は、Claude Code などのAI搭載コーディング
悪意のあるコードを1行も含まない GitHubリポジトリが、開発者のマシンを密かに侵害できる——Mozilla のゼロデイ調査ネットワーク(0DIN)のセキュリティ研究者たちが、そのような警告を発しました。 攻撃の仕組み この概念実証(PoC)攻撃は、Claude Code などのAI搭載コーディング
開発効率化ツールは、私たちの最も重要な業務上の機密情報へのアクセス権を着実に拡大しています。JetBrains Marketplace向けの悪意あるプラグイン作成者たちは、こうした深い信頼関係を意図的に悪用しました。先ごろ公開された包括的なレポートは、AIキーの窃取が発覚した複数のJetBrain
NPMエコシステムを狙ったサプライチェーン攻撃の急増を受け、GitHubは依存パッケージのスクリプトをデフォルトで実行しない方針を発表しました。 過去数カ月の間に相次いだ複数の重大インシデントは、主にTeamPCPおよび自己複製型ワームShai-Huludと関連しており、npm install実行時に依存パッケージの
GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と
オープンソースソフトウェアのサプライチェーンで、また深刻なセキュリティ侵害が発生しました。2026年6月9日、セキュリティアナリストが広く利用されているnpmエコシステム内での深刻なマルウェア感染を公表しました。 dbmuxと特定されたこの悪意のあるパッケージは、ソフトウェア開発者のワークステーションへ不正アクセスす
Rubyパッケージのホスティングサイト「RubyGems」の開発チームは、Rubyパッケージ(gem)を管理するツール「Bundler」に新機能を追加しました。これは最近相次ぐソフトウェアサプライチェーン攻撃から開発者を守ることを目的としており、更新されたばかりのパッケージをインストールするまでに一定の「冷却期間」を
by Anjali Gopinadhan Nair 開発者はツールを信頼しています。その信頼が悪用されています。 Claude CodeはAnthropicのAIコーディングア
非常に高度なリモートアクセス型トロイの木馬(RAT)がnpmレジストリに再び出現し、開発者環境を侵害しようとする執拗な試みが続いていることが明らかになりました。 2026年5月4日にnpmセキュリティチームが元の悪意あるパッケージ「forge-jsx」を削除した後、脅威アクターはすぐにその後継パッケージ「forge-
eSecurity Planet のコンテンツおよび製品推奨は編集上独立しています。パートナーへのリンクをクリックすると収益が発生する場合があります。 詳細はこちら CrowdStrikeは、侵害されたオープンソースパッケージ、悪意のあるVSCode拡張機能、および汚染されたGitHubリポジトリを通じてソフ
マイクロソフトの研究者が、人気のある@antv Node Package Manager(npm)エコシステムを標的とするアクティブなサプライチェーン攻撃を発見しました。 脅威アクターがメンテナーアカウントを侵害し、広く使用されているデータビジュアライゼーションライブラリを通じて「Mini Shai-Hulud」マル
すべての記事を読み込みました