NPMエコシステムを新たな2件のサプライチェーン侵害が直撃
盗まれ流出した認証情報が原因で、AsyncAPIとJscrambler Code IntegrityのNode.jsパッケージがマルウェアに汚染されました。 開発者エコシステムを狙った攻撃は頻度と手口の両面で高度化が進んでおり
盗まれ流出した認証情報が原因で、AsyncAPIとJscrambler Code IntegrityのNode.jsパッケージがマルウェアに汚染されました。 開発者エコシステムを狙った攻撃は頻度と手口の両面で高度化が進んでおり
この攻撃では、悪意のあるWindowsショートカットファイル、PowerShell、正規のNode.jsランタイム、そしてTONブロックチェーンを組み合わせることで、柔軟なコマンド&コントロール(C2)システムを維持しています。 今回のキャンペーンは、攻撃者が信頼されたサービスや正規のソフトウェア、ブロックチェーンベ
宿泊業界に携わる人々は、宿泊客からのクレーム対応に迅速に応じる必要があります。悪意ある攻撃者は最近、この心理につけ込みました。日本各地のBooking.com提携ホテルを標的に、巧妙なメールを送りつけたのです。攻撃者は不満を抱いた宿泊客を装ってメッセージを送信し、ホテルスタッフに添付された写真やク
サイバー脅威アクターが日本国内のBooking.comパートナー施設の従業員を標的にしています。攻撃者は、ゲストからのクレームやレビュー依頼を装ったフィッシングメールを使い、ホテルスタッフに悪意あるファイルを実行させようとしています。 このキャンペーンで
Node.jsプロジェクトは、22.x・24.x・26.xの各リリースラインを対象とした重要なセキュリティアップデートをリリースしました。今回のアップデートでは12件の脆弱性が修正されており、中でも認証バイパスやリモートプロセスのクラッシュを引き起こしうる高深刻度の欠陥2件が特に注目されます。 2026年6月18日に
Node.jsは、サポート対象の各リリースラインに存在する12件の脆弱性に対処する重要なセキュリティアップデートを発表しました。このうち2件は深刻度「高」と評価されており、サービス拒否(DoS)状態の引き起こしや認証バイパスにつながる可能性があります。 これらのアップデートは2026年6月18日にリリースされ、Nod
AntiSSRFは、Webアプリケーションにおけるサーバーサイドリクエストフォージェリ(SSRF)のリスクを低減するため、URLとネットワーク接続を検証するMicrosoftのオープンソースコードライブラリです。.NETおよびNode.jsアプリケーションに対応しており、MITライセンスのもとで配布さ
最近の脅威ハンティング活動において、不審なホームページを持つウェブサイトからEtherRATマルウェアが配布されていることを発見しました。このホームページを起点に調査を進めたところ、マルウェア・悪意ある文書・リモートデスクトップソフトウェア・フィッシングページを配布する大規模な悪性インフラの存在が明らかになりまし
DevOPS 悪名高いShai-Huludワームがまさにこの機能を悪用していました。マルウェア作者以外の全員が「遅すぎるよりはまし」と
npmパッケージ「dbmux」にマルウェアが発見されました。このパッケージをインストール済み、または実行中のコンピューターはすべて完全に侵害されたものとみなす必要があります。 GitHubアドバイザリー(GHSA-62wx-5f55-w8g2)は今回のインシデントを深刻なものと位置付けており、dbmuxがインストール
すべての記事を読み込みました