タグ: CI/CDパイプライン

cyberpress.org

VECTランサムウェア、侵害後の標的選定にTeamPCPの認証情報アーカイブを利用

たとえ被害者が身代金を支払ったとしても、被害者・攻撃者いずれもこれらのファイルを復元することはできません。この暗号化の欠陥自体も深刻な問題ですが、VECTが標的を選定する仕組みには、さらに大きな構造的問題が存在します。 VECTは特定の組織にハッキングを仕掛けるのではなく、サプライチェーンのパートナーであるTeamP

darkreading.com

ノボ ノルディスクの情報漏えいが示すソフトウェア開発パイプラインのリスク

ノボ ノルディスクで最近発生した大規模とみられる情報漏えいは、攻撃者が単一のGitHubアクセストークンを足がかりに侵入したと報告されており、コードリポジトリや開発者環境が、知的財産・認証情報・ソフトウェアサプライチェーン資産を狙う攻撃者にとっての主戦場となっている実態を改めて浮き彫りにしています。オゼンピックやウゴー

cyberscoop.com

ソフトウェア開発界の「速度至上主義」がTeamPCPの破壊的な攻撃を可能にした経緯

TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。 わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジト

meterpreter.org

Miasmaツールキット、ソフトウェアサプライチェーンを標的に

GitHubに新たなソースコードが大量に出現し、セキュリティ研究者の注目を集めました。ここ数日のあいだ、「Miasma-Open-Source-Release」という名称のリポジトリがプラットフォーム全体に続々と登場したのです。この発見に携わった研究者によると、これらのリポジトリのほとんどは、すで

darkreading.com

MiasmaサプライチェーンワームがMicrosoftの73リポジトリに侵入

5分で読めます悪名高いShai-Huludワームの亜種がMicrosoftのコードリポジトリに大混乱をもたらし、CI/CDワークフローの障害を引き起こすとともに、ソフトウェアサプライチェーンへの脅威が高まっているという懸念が深刻化しています。6月5日に展開されたこの攻撃は、セキュリティ研究者向けのオンラインコラボレーシ

gbhackers.com

2026年版:セキュリティチームが選ぶソフトウェア・コンポジション解析(SCA)ツール TOP10

現代のソフトウェア開発は年々複雑さを増しており、セキュリティは後付けではなく開発パイプラインの中核に組み込む必要があります。現代のアプリケーションは構成要素の80%以上がオープンソースで占められており、攻撃対象領域は大きく様変わりしています。 膨大なコードベースの管理からサードパーティAPI

gbhackers.com

IronWorm npmアタック:開発者の機密情報を狙うサプライチェーン攻撃

「IronWorm」と名付けられた新たなサプライチェーン攻撃が明らかになりました。この攻撃は悪意あるnpmパッケージを悪用し、開発者環境への侵害、機密認証情報の窃取、そしてワーム的な自己増殖によるリポジトリへの感染拡大を行うものです。 実際の攻撃として確認されたこのキャンペーンは、ソフトウェア開発者を標的としており、

cyberpress.org

JINX-0164:未知の脅威グループがmacOSマルウェアで暗号資産企業を攻撃

新たに確認された脅威グループ「JINX-0164」による、高度なサイバー攻撃キャンペーンの全貌が明らかになりました。 2025年半ばから活動を開始したこの金銭目的の攻撃者は、主に暗号資産関連企業とソフトウェア開発者を標的にしています。 巧妙なソーシャルエンジニアリング手法とカスタム製macOSマルウェアを組み合わせる

cybersecuritydive.com

Red Hat の npm パッケージ30件超がサプライチェーン攻撃の標的に

研究者らによると、今回の侵害にはMini Shai Huludの亜種が関与しているとのことです。 月曜日、研究者らは資格情報を窃取するワームを使ったサプライチェーン攻撃により、Red Hat の npm パッケージ30件以上が侵害されたと警告しました。 32パッケージにわたる計96バージョンが侵害さ