タグ: CI/CD セキュリティ

infosecurity-magazine.com

Mini Shai-Hulud、AntVエコシステムの数百個のnpmパッケージを攻撃

Mini Shai-Huludワームが、これまでで最大規模の単一レジストリウェーブの1つとして再び現れ、AntVデータビジュアライゼーションエコシステムに関連する数百個のnpmパッケージを、約1時間続いた協調的な攻撃で襲撃しました。 Socketの脅威研究チームによる新しい分析によると、攻撃は5月19日協定世界時01時

cyberpress.org

悪意のあるGitHub Actionがサプライチェーン攻撃でワークフロー認証情報を盗む

ソフトウェアサプライチェーンは最近、人気のGitHub Actionとして知られるissues-helperを含む高度なセキュリティ侵害を受けました。 セキュリティ研究者は、actions-cool組織内で広く使用されているこのツールが、攻撃者がそのリポジトリタグを巧みに操作することに成功した際に侵害されたことを発見

cyberpress.org

開発者とCI/CDシークレットを盗むために侵害されたSAP npmパッケージ

SAP エコシステム開発者を対象とした洗練されたサプライチェーン攻撃が発覚し、脅威アクターグループ TeamPCP が認証情報を盗む悪意のあるソフトウェアを広く使われている SAP npm パッケージに注入していました。 これは開発者ワークステーションとCI/CDパイプラインの両方を対象とし、GitHub トークン、

csoonline.com

npm レジストリで発見された悪意のある pgserve および automagik 開発者ツール

偽のパッケージはデータ、認証情報、シークレットを盗み、それらを使用して作成されたすべてのパッケージに感染することを目的としており、「完全な組織の乗っ取り」となる可能性があります。 アプリケーション開発者に対して、アプリケーション開発用の組み込み P