タグ: npm

cyberpress.org

FBI、開発環境とクラウド認証情報を危険にさらすTeamPCPサプライチェーンキャンペーンについて警告

2026年、FBIは脅威グループTeamPCPが主導する大規模なソフトウェアサプライチェーン攻撃キャンペーンについて重大な警告を発しました。 この巧妙な攻撃は信頼されているソフトウェア配布チャネルを侵害し、ハッカーが広く利用されている企業向け開発ツールに悪意のあるコードを注入することを可能にしました。 脅威アクターは

cyberpress.org

北朝鮮関連の「PolinRider」キャンペーン、オープンソースパッケージ・拡張機能108件に感染

北朝鮮に関連するサプライチェーン攻撃キャンペーン「PolinRider」が、開発者エコシステム全体で急速に活動範囲を拡大しています。 当初はnpmレジストリを標的としていましたが、Contagious InterviewおよびFamous Chollimaという活動クラスターに関連する脅威アクターは、現在までに108

gbhackers.com

ハッカーがGitHubメンテナーアカウントを乗っ取り、PolinRider感染パッケージ版を公開

PolinRiderサプライチェーン攻撃キャンペーンが大規模に拡大しています。攻撃者はGitHubメンテナーアカウントを侵害し、複数のエコシステムにまたがって感染パッケージのバージョンを公開していることが判明しました。 調査の結果、npm、Packagist、Goモジュール、そしてChrome拡張機能において、108

cyberscoop.com

ソフトウェア開発界の「速度至上主義」がTeamPCPの破壊的な攻撃を可能にした経緯

TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。 わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジト

gbhackers.com

140以上のMastraパッケージが侵害——npmエコシステムを狙う大規模攻撃

広く利用されているMastraネームスペース配下の140以上のnpmパッケージがソフトウェアサプライチェーン攻撃によって侵害され、開発者・CI/CDパイプライン・エンタープライズ環境が、検知困難なクロスプラットフォーム型インフォスティーラーにさらされる事態となりました。 この攻撃は、2026年6月17日にSocket

cyberpress.org

140以上のMastra npmパッケージが侵害され、認証情報が窃取される

npmサプライチェーン攻撃がMastra AIフレームワークのエコシステムを標的とし、脅威アクターが140以上のパッケージを侵害して、暗号資産ウォレットデータ・ブラウザ履歴・開発者の認証情報を窃取するクロスプラットフォーム型インフォスティーラーを展開していたことが明らかになりました。 MicrosoftとSocket

securityweek.com

Atomic Arch サプライチェーン攻撃、AURパッケージ1,500件以上に影響

Arch Linuxは月曜日、進行中のサプライチェーン攻撃の一環として大量の悪意あるパッケージが公開されたことを受け、Arch User Repository(AUR)への新規アカウント登録を一時停止すると発表しました。 AURはコミュニティ主導のリポジトリで、公式リポジトリに収録されていないソフトウェアのビルドスク

koi.ai

初めて確認された悪意あるMCP:あなたのメールを盗み続けるPostmarkバックドア

MCPサーバーはご存じですよね。AIアシスタントがメール送信やデータベースクエリの実行など、手動でやりたくない面倒な作業を代わりに処理してくれる便利なツールです。しかし、あまり語られていない重大な問題があります。私たちはこれらのツールに「神モード」の権限を与えているのです。会ったこともない人々が作ったツールに。素性を確

theregister.com

AIはコードであり、プロンプトで賢くなることはできない

Javaプロパティベーステストツールjqwikの作者は、AIコーディングエージェントに自分のプロジェクトを使ってほしくありませんでした。そこで彼は、そう明示しました。さらに一歩踏み込んで、ツールの出力にエージェントへのメッセージを追加しました。jqwikのテストとコードをすべて削除するよう、エージェントに指示

securityweek.com

NPM 12、サプライチェーン攻撃防止に向けたスクリプト実行動作の変更へ

NPMエコシステムを狙ったサプライチェーン攻撃の急増を受け、GitHubは依存パッケージのスクリプトをデフォルトで実行しない方針を発表しました。 過去数カ月の間に相次いだ複数の重大インシデントは、主にTeamPCPおよび自己複製型ワームShai-Huludと関連しており、npm install実行時に依存パッケージの