タグ: JavaScriptセキュリティ

cyberpress.org

GitHubがnpm v12でスクリプトの自動インストールを無効化、攻撃対策を強化

GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と

cyberpress.org

悪意のあるnpmパッケージ「dbmux」、システムを侵害するマルウェアで開発者を標的に

オープンソースソフトウェアのサプライチェーンで、また深刻なセキュリティ侵害が発生しました。2026年6月9日、セキュリティアナリストが広く利用されているnpmエコシステム内での深刻なマルウェア感染を公表しました。 dbmuxと特定されたこの悪意のあるパッケージは、ソフトウェア開発者のワークステーションへ不正アクセスす

helpnetsecurity.com

ウェブサイトはSSDの動作を分析することでユーザーの行動を盗み見できる

ウェブサイトはこれまで長年にわたり、ブラウザフィンガープリンティング、トラッキングスクリプト、その他デバイスの識別や行動監視を目的とした手法を通じて、訪問者に関する情報を収集してきた。研究者たちは、ほとんどのユーザーがウェブサイトに観察されるとは思いもよらないもの、すなわちアプリケーションやファイルが

helpnetsecurity.com

CVE Lite CLI: オープンソース依存関係脆弱性スキャナー

JavaScriptおよびTypeScriptプロジェクトにおける依存関係脆弱性スキャンは、長きにわたって開発パイプラインの終端に位置してきました。プルリクエストが開かれ、継続的インテグレーションが実行され、セキュリティスキャナーがCVE識別子のリストを返し、開発者はコード作成から数時間または数日後にそれらをトリア

cyberpress.org

822K回ダウンロードのnode-ipcパッケージがサプライチェーン侵害で危険化

週822,000回以上ダウンロードされている信頼されたnpmパッケージが、洗練されたサプライチェーン攻撃で悪用され、JavaScriptデベロッパーコミュニティに衝撃が走った。 危険性が確認されたバージョン[email protected]、9.2.3、12.0.1は公開から数分以内にフラグが立てられたが、それでも無数の開

gbhackers.com

Axiosのnpm漏洩は標的型ソーシャルエンジニアリング攻撃に遡ることが判明

広く使用されているAxiosのnpmパッケージの最近の漏洩は、標的型ソーシャルエンジニアリング攻撃の結果であることが確認されました。 開発者を悪意あるコードに一時的にさらしたこのインシデントは、オープンソースソフトウェアサプライチェーン内での増加するリスクをハイライトしています。 3月31日、攻撃者はAxiosの2つ