タグ: CI/CDセキュリティ

bleepingcomputer.com

CIセキュリティスキャナーが見逃すGitHub Actions攻撃パターン

パイプラインが「グリーン」であることと「統制されている」ことは同義ではありません。そして、エージェント型コーディングの普及は、レビュー体制が追いつくよりも速いペースでその差を広げています。 執筆:Shane Warden(ActiveState、プリンシパルアーキテクト) 2026年6月、Novee Security

cyberpress.org

FBI、開発環境とクラウド認証情報を危険にさらすTeamPCPサプライチェーンキャンペーンについて警告

2026年、FBIは脅威グループTeamPCPが主導する大規模なソフトウェアサプライチェーン攻撃キャンペーンについて重大な警告を発しました。 この巧妙な攻撃は信頼されているソフトウェア配布チャネルを侵害し、ハッカーが広く利用されている企業向け開発ツールに悪意のあるコードを注入することを可能にしました。 脅威アクターは

infosecurity-magazine.com

ランサムウェア集団がTeamPCPと提携、「産業化」するサイバー攻撃に警戒感

ランサムウェア集団と、サプライチェーン攻撃を通じて認証情報を窃取することに特化したサイバー犯罪集団が手を組みました。セキュリティ研究者はこの動きを「前例のない産業化型ランサムウェアモデル」と表現しています。 Sophosが詳細を報告したところによると、今回の提携はVectランサムウェアグループと、英語圏のサイバー犯罪者

cyberpress.org

Gemini CLI の重大な脆弱性、CIワークフローをコマンドインジェクション攻撃にさらす

GoogleのGemini CLIおよびGitHub Actionのrun-gemini-cliに、最大深刻度の脆弱性が公表されました。この脆弱性により、権限を持たないリモート攻撃者が、エージェントのサンドボックスが初期化される前にホスト上で任意のOSコマンドを実行できます。 CVE-2026-12537として追跡さ

gbhackers.com

140以上のMastraパッケージが侵害——npmエコシステムを狙う大規模攻撃

広く利用されているMastraネームスペース配下の140以上のnpmパッケージがソフトウェアサプライチェーン攻撃によって侵害され、開発者・CI/CDパイプライン・エンタープライズ環境が、検知困難なクロスプラットフォーム型インフォスティーラーにさらされる事態となりました。 この攻撃は、2026年6月17日にSocket

cyberpress.org

140以上のMastra npmパッケージが侵害され、認証情報が窃取される

npmサプライチェーン攻撃がMastra AIフレームワークのエコシステムを標的とし、脅威アクターが140以上のパッケージを侵害して、暗号資産ウォレットデータ・ブラウザ履歴・開発者の認証情報を窃取するクロスプラットフォーム型インフォスティーラーを展開していたことが明らかになりました。 MicrosoftとSocket