CIセキュリティスキャナーが見逃すGitHub Actions攻撃パターン
パイプラインが「グリーン」であることと「統制されている」ことは同義ではありません。そして、エージェント型コーディングの普及は、レビュー体制が追いつくよりも速いペースでその差を広げています。 執筆:Shane Warden(ActiveState、プリンシパルアーキテクト) 2026年6月、Novee Security
パイプラインが「グリーン」であることと「統制されている」ことは同義ではありません。そして、エージェント型コーディングの普及は、レビュー体制が追いつくよりも速いペースでその差を広げています。 執筆:Shane Warden(ActiveState、プリンシパルアーキテクト) 2026年6月、Novee Security
2026年、FBIは脅威グループTeamPCPが主導する大規模なソフトウェアサプライチェーン攻撃キャンペーンについて重大な警告を発しました。 この巧妙な攻撃は信頼されているソフトウェア配布チャネルを侵害し、ハッカーが広く利用されている企業向け開発ツールに悪意のあるコードを注入することを可能にしました。 脅威アクターは
ランサムウェア集団と、サプライチェーン攻撃を通じて認証情報を窃取することに特化したサイバー犯罪集団が手を組みました。セキュリティ研究者はこの動きを「前例のない産業化型ランサムウェアモデル」と表現しています。 Sophosが詳細を報告したところによると、今回の提携はVectランサムウェアグループと、英語圏のサイバー犯罪者
by ddos-admin · 2026年7月3日
未修正の脆弱性により、攻撃者は侵害したポッドを足がかりに、Kubernetesデプロイメントへのより広範な制御権を奪う可能性があります。 Argo CDで新たに公表された脆弱性が、GitOpsプラットフォームのセキュリティリス
GoogleのGemini CLIおよびGitHub Actionのrun-gemini-cliに、最大深刻度の脆弱性が公表されました。この脆弱性により、権限を持たないリモート攻撃者が、エージェントのサンドボックスが初期化される前にホスト上で任意のOSコマンドを実行できます。 CVE-2026-12537として追跡さ
広く利用されているMastraネームスペース配下の140以上のnpmパッケージがソフトウェアサプライチェーン攻撃によって侵害され、開発者・CI/CDパイプライン・エンタープライズ環境が、検知困難なクロスプラットフォーム型インフォスティーラーにさらされる事態となりました。 この攻撃は、2026年6月17日にSocket
npmサプライチェーン攻撃がMastra AIフレームワークのエコシステムを標的とし、脅威アクターが140以上のパッケージを侵害して、暗号資産ウォレットデータ・ブラウザ履歴・開発者の認証情報を窃取するクロスプラットフォーム型インフォスティーラーを展開していたことが明らかになりました。 MicrosoftとSocket
Jenkinsにおけるデシリアライゼーションの深刻な脆弱性が、脅威アクターによって現在積極的に悪用されています。2026年6月15日の早朝時点で、ハニーポットのテレメトリが実際の攻撃試行を捕捉しています。 Defusedによると、CVE-2026-53435はJenkins 2.567以前、およびJenkins LT
CI/CD Abuse Detectorは、継続的インテグレーション(CI)・継続的デプロイメント(CD)のパイプライン、ワークフロー、自動化設定に対する不審な変更を検知するために大規模言語モデルを活用するオープンソースプロジェクトです。リポジトリにはGitHub Actions、GitLab CI、
すべての記事を読み込みました