GitHubとGrafana Labsの侵害はTanStackのサプライチェーン侵害に遡る
GitHub CISOのAlexis Walesは、脅威グループTeamPCPの手による侵害の背後にある悪意のあるVS Code拡張機能を名指ししました。それは220万インストール数を誇る人気のデベロッパーツール「Nx Console」です。 そうでなければ無害な拡張機能の悪意のあるバージョンが、秘密
GitHub CISOのAlexis Walesは、脅威グループTeamPCPの手による侵害の背後にある悪意のあるVS Code拡張機能を名指ししました。それは220万インストール数を誇る人気のデベロッパーツール「Nx Console」です。 そうでなければ無害な拡張機能の悪意のあるバージョンが、秘密
Mini Shai-Huludワームが、これまでで最大規模の単一レジストリウェーブの1つとして再び現れ、AntVデータビジュアライゼーションエコシステムに関連する数百個のnpmパッケージを、約1時間続いた協調的な攻撃で襲撃しました。 Socketの脅威研究チームによる新しい分析によると、攻撃は5月19日協定世界時01時
ソフトウェアサプライチェーンは最近、人気のGitHub Actionとして知られるissues-helperを含む高度なセキュリティ侵害を受けました。 セキュリティ研究者は、actions-cool組織内で広く使用されているこのツールが、攻撃者がそのリポジトリタグを巧みに操作することに成功した際に侵害されたことを発見
広く使用されているGitHub Action「actions-cool/issues-helper」が、攻撃者に支配されたドメインに機密のCI/CDシークレットを露出させるサプライチェーン攻撃により、侵害されました。 この攻撃は、Gitタグの微妙で強力な操作に基づいています。可視的なコミット履歴を変更する代わりに、攻
SAP エコシステム開発者を対象とした洗練されたサプライチェーン攻撃が発覚し、脅威アクターグループ TeamPCP が認証情報を盗む悪意のあるソフトウェアを広く使われている SAP npm パッケージに注入していました。 これは開発者ワークステーションとCI/CDパイプラインの両方を対象とし、GitHub トークン、
偽のパッケージはデータ、認証情報、シークレットを盗み、それらを使用して作成されたすべてのパッケージに感染することを目的としており、「完全な組織の乗っ取り」となる可能性があります。 アプリケーション開発者に対して、アプリケーション開発用の組み込み P
出典: Summit Art Creations via ShutterstockTrivyセキュリティスキャナープロジェクト、広く使用されているAxios JavaScriptパッケージ、およびAnthropicの旗艦製品Claude Codeのソースコード偶発公開など、さまざまなオープンソースプロジェクトを対象と
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Aquasecu...