GitHubが3,800個の内部リポジトリの侵害後、大規模なソースコード漏洩を認める
GitHubは、TeamPCPが主張する増加し続けるハッキングの最新事例を、汚染されたVS Code拡張機能のせいにしました。 マイクロソフトのGitHubは、攻撃者が同社の約3,800個の内部リポジトリからコードを流出させたことを確
タグ: NPM供給チェーン攻撃
別のnpm供給チェーン・ワームが開発環境を蔓延中
また別のnpm供給チェーン攻撃が自己伝播型のマルウェアとなり、感染したパッケージを通じて開発者環境に蔓延して、シークレットと機密データを盗んでいる。これは先月TeamPCPに起因するとされるオープンソース感染との間に大きな重複が見られる。 アプリケーションセキュリティベンダーのSocketとStepSecurity
偽のGemini npmパッケージがAIツールトークンを盗む
ハッカーは、Claude、Cursor、Windsurf、PearAIなどのAIコーディングツールを使用している開発者からトークンとシークレットを盗むために、偽のGeminiテーマのnpmパッケージを悪用しています。 READMEテキストは関連のない chai-await-async ライブラリか
Axiosのnpmサプライチェーン攻撃がMicrosoftの軽減ガイダンスを促す
2026年3月31日、セキュリティ研究者は、週間ダウンロード数が700万を超える人気のJavaScript用HTTPクライアントであるAxiosを標的とした重大なサプライチェーン攻撃を特定しました。 パッケージの2つの更新版(1.14.1と0.30.4)は、リモートアクセストロージャンをインストールする悪意のある依存
ハッカーがAxios npmパッケージを乗っ取ってRATを拡散
脅威アクターはオープンソースメンテナーをターゲットにして、最も人気のあるnpmパッケージの1つを乗っ取り、リモートアクセストロイの木馬(RAT)を拡散しました。 Axiosは週に1億回以上ダウンロードされるJavaScriptライブラリで、数えきれないほどの開発環境とCI/CDパイプラインで依存関係として使用されていま
攻撃者がAxios HTTPライブラリを改ざん、過去最大規模のnpm供給チェーン攻撃を実行
ライブラリを依存関係として記載するnpmプロジェクトがほぼ175,000個存在し、この攻撃は莫大なカスケード効果をもたらし、侵害されたパッケージがいかに迅速にエコシステム全体に拡がるかを示しています。 攻撃者は、広く使用されているJavaScrip
Shai-Hulud型NPMワーム、CIパイプラインとAIコーディングツールに侵入
研究者らは、悪意のあるパッケージがシークレットを収集し、CIシステムを武装させ、...