TokyoBlackHatNews

タグ: APIキー漏洩

meterpreter.org

CodexUI AndroidのサプライチェーンにおけるアノマラスなInversion:開発者の悪意というパラドックス

近年、NPMエコシステムは複数のサプライチェーン侵害に悩まされている。一般的に、サイバー犯罪者は漏洩した認証情報を悪用してリポジトリを改ざんし、侵害されたバージョンを配布する。しかし最近、極めて奇妙なキャンペーンが出現した。具体的には、人気のNPMパッケージCodexUI Androidが、ユーザーのCodex認証キ
gbhackers.com

Cursor AI拡張機能の脆弱性がデベロッパートークンを認証情報盗難に晒す

LayerXのセキュリティ研究者は、人気のあるAI搭載開発環境Cursorの重大な脆弱性を発見しました。「CursorJacking」と名付けられたこの欠陥はCVSSスコア8.2を持ち、開発者を直接的な認証情報盗難にさらします。インストールされたあらゆる拡張機能は、特別な権限やユーザー操作を必要とせずに、ユーザーのA
gbhackers.com

ClickUpのセキュリティ脆弱性が主要Fortune 500企業に関連する959件のメールアドレスを公開

人気の高い生産性向上プラットフォームClickUpの重大なセキュリティ脆弱性により、Fortune 500企業および政府機関に関連する959件のメールアドレスを含む機密データが公開されました。 主な脆弱性は、ClickUpの本番JavaScriptバンドルに残されているハードコーディングされたSplit.io SDK
cyberscoop.com

Vercel攻撃の影響がさらに多くの顧客とサードパーティシステムに拡大

Vercelは内部システムへの攻撃の影響が予想されていたより多くの顧客に及んでいることが判明したと述べました。継続的な分析により、侵害の追加的な証拠が明らかになりました。 開発者向けのツール提供とクラウドインフラストラクチャをホストしている同社は、「限定的な数の」アカウントが影響を受けたと述べていますが、この攻撃に関
gbhackers.com

Xinferenceの PyPI 漏洩により開発者がクラウド認証情報盗難にさらされる

深刻なサプライチェーン攻撃により、人気のあるPythonパッケージ Xinferenceが侵害され、開発者が大規模なデータ盗難にさらされています。 脅迫者は、難読化されたインフォステーラーをコードに埋め込み、このツールの悪質なバージョンをPython Package Index (PyPI)にアップロードしました。
bleepingcomputer.com

Vercelがセキュリティ侵害を確認、ハッカーが盗まれたデータの販売を主張

クラウド開発プラットフォームのVercelは、脅迫者がシステムに侵入し盗まれたデータの販売を試みていると主張した後、セキュリティインシデントを公開しました。 Vercelは開発者にホスティングおよびデプロイメントインフラストラクチャを提供するクラウドプラットフォームであり、JavaScriptフレームワークに強い焦
helpnetsecurity.com

LLMルーティングレイヤーのコマンド整合性の破綻

LLMエージェントに依存するシステムは、モデルに到達する前に、中間ルーティングサービスを通じてリクエストを送信することが多くあります。これらのルーターは単一のエンドポイントを通じてさまざまなプロバイダーに接続し、リクエストがどのように処理されるかを管理します。このレイヤーは、何が実行されるか、どのよう
infosecurity-magazine.com

GoogleのAPIキーがAndroidデバイス上のGeminiへのアクセスを密かに獲得

GoogleのAPIキーシステムの欠陥により、モバイルアプリケーションがその予期しないGemini AIプラットフォームへのアクセスに露出したと報告されています。 4月8日に公開されたCloudSEK勧告によれば、この問題は広く使用されているAndroidアプリに影響を与える可能性があり、攻撃者が機密データにアクセスし