タグ: JavaScript

gbhackers.com

GitHubがnpmインストールスクリプトの悪用を防ぐ自動制御機能を導入

GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能

bleepingcomputer.com

東芝・無印良品サイトに不審なPolyfillログインポップアップが出現

テック大手の東芝と大手小売チェーンの無印良品は、自社ウェブサイトに表示された不審なサインイン画面が認証情報を収集する可能性があるとして、利用者に注意を呼びかけています。 両社は、認証画面にアカウントのログイン情報を入力してしまった利用者に対し、サービスへのアクセスに使用するパスワードを変更するよう求めています。 こ

cyberpress.org

偽の発注書を装ったマルウェアキャンペーン、米国企業を標的に

高度な隠蔽性を持つサイバー攻撃が米国企業に忍び込み、標準的なセキュリティツールをすり抜けて持続的なアクセスを確立しています。ANY.RUNの研究者が、「JS.MonoGlyphRAT」と名付けられた新たなバックドアを発見しました。 この高度なマルウェアは、発注書や見積書といった日常的なビジネス文書に偽装し、シンプルな

meterpreter.org

FROSTの密かな台頭:SSDレイテンシのサイドチャネルを介したユーザー追跡

Webサイトは、オンライン訪問者を監視するための新しい、目立たないメカニズムを持っている。重要なのは、このアプローチがカメラ、マイク、悪用されたブラウザ拡張機能といった従来のハードウェア周辺機器を完全に迂回するという点だ。その代わりに、標準的なJavaScriptコードを使って、ソリッドステートドライブ(SSD)内の

cyberpress.org

npmが2FA回避トークンを無効化、「Mini Shai-Hulud」サプライチェーン攻撃を受け

npmは、二要素認証(2FA)を回避する細粒度の書き込みアクセストークンをすべて無効化しました。2026年5月19日に発表されたこのプラットフォーム全体の認証情報リセットは、JavaScriptエコシステムを標的とした大規模な「Mini Shai-Hulud」サプライチェーンキャンペーンを阻止することを目的としていま

gbhackers.com

JavaScriptマルウェアキャンペーン PowerShell経由で暗号資産クリッパーを配布

層状化された難読化、多段階ペイロード配信、隠蔽されたコマンド・アンド・コントロール(C2)通信を使用して暗号資産クリッパーマルウェアを配置する大規模なCountLoaderキャンペーン。 このキャンペーンは、JavaScript、PowerShell、メモリ内シェルコード実行を組み合わせて検出を回避し、感染したシス

cyberpress.org

NPMの脅威:Hugging Faceがデータ盗難とマルウェア配信のバックエンドとして悪用されている

悪意のあるnpmパッケージjs-logger-pack(バージョン1.1.27まで)は進化し、Hugging Faceを二重脅威プラットフォームに変えました。初期ペイロード用のマルウェアCDNであり、現在は盗まれたデータを流出させるためのバックエンドです。 JFrog Securityの研究者がキャンペーンを分析し、

cyberscoop.com

Axiosの攻撃がサプライチェーンセキュリティにおいてAIが必須であることを証明している理由

2週間前、北朝鮮の関係者と見られる脅威アクターが、広く使用されているJavaScriptライブラリであるAxios内のパッケージに悪意のあるコードを混入させました。即座の懸念は影響範囲でした。企業、スタートアップ、政府システムにまたがる週間約1億ダウンロード。しかし、単なる規模を超えて、攻撃の速度も同じくらい懸念され