タグ: npm脆弱性

cybersecuritydive.com

Grafana LabsのGitHub環境侵害がTanStack npmサプライチェーン攻撃と関連していることが判明

広く使用されている監視プラットフォームを開発する同社は恐喝要求を拒否し、その後セキュリティを強化するための措置を講じました。 Grafana Labsは火曜日に、GitHub環境の侵害は今月初めのMini Shai-Hulud侵害に関連するTanStack npmサプライチェーン攻撃に起因したと述べ

helpnetsecurity.com

CVE Lite CLI: オープンソース依存関係脆弱性スキャナー

JavaScriptおよびTypeScriptプロジェクトにおける依存関係脆弱性スキャンは、長きにわたって開発パイプラインの終端に位置してきました。プルリクエストが開かれ、継続的インテグレーションが実行され、セキュリティスキャナーがCVE識別子のリストを返し、開発者はコード作成から数時間または数日後にそれらをトリア

cyberpress.org

不正なnpmパッケージが開発者のSSHキー、クラウドトークン、暗号資産ウォレットデータを狙う

オープンソースエコシステムは開発者にとって危険な地雷原と化しています。新たな凶悪なタイポスクワッティングキャンペーンがソフトウェアエンジニアを積極的に狙い、クラウド環境の乗っ取り、暗号資産ウォレットの枯渇、感染マシンの大規模DDoSボットネットへの変換を脅かしています。 この段階的に進む脅威は、寒気がするような現実を

cyberpress.org

悪意のあるClaude生成コミットが暗号資産取引ツールをターゲット

人工知能は開発者がコードを書く方法を変えていますが、脅威アクターはこれらの自動ワークフローを操作する方法をすぐに学んでいます。 最近発見されたサプライチェーン攻撃では、Anthropicの Claude Opus AIモデルが悪意のあるパッケージを依存関係として追加した後、自律的な暗号資産取引プロジェクトが侵害されま

meterpreter.org

Claude Codeの漏洩:50万行のnpm失態がハッカーへの黄金の切符に

時代を代表する最も著名な人工知能ツールの一つの内部ソースコードの最近の不注意による露出は、予想外にサイバー敵対者にとって魅惑的な誘い文句へと変身してしまいました。パッケージの発行の過失が連鎖反応を引き起こしました。ファイルの瞬時の拡散から、開発者を罠にかけるために特別に設計された悪意のあるレプリカの出現への移行です

cyberpress.org

Axiosのnpmパッケージが北朝鮮関連の脅威アクターに侵害される

2026年3月31日、サイバーセキュリティコミュニティは、脅威アクターが非常に人気の高いAxios Node Package Manager(npm)パッケージを見事に侵害したときに、重大なサプライチェーン攻撃に直面しました。 盗まれたメンテナー認証情報を利用することで、攻撃者はこの広く使用されているHTTPクライア

gbhackers.com

北朝鮮のハッカーがAxiosパッケージに侵入、Windows、macOS、Linuxシステムを標的

北朝鮮に関連する脅威アクターが、人気のあるAxios NPMパッケージを乗っ取り、Windows、macOS、Linuxシステムに静かにバックドアを仕込むことができる影響度の高いソフトウェアサプライチェーン攻撃を実行しました。 2026年3月31日00:21~03:20 UTC間に、攻撃者は危険にさらされたメンテナ

koi.ai

初の野生の悪意あるMCP: あなたのメールを盗むPostmarkバックドア

MCPサーバーをご存知ですね?AIアシスタントにメール送信、データベースクエリ実行、基本的に手動でやりたくない退屈な作業をすべて処理させる便利なツール。さて、ここが十分に話題にされていない点です:私たちはこれらのツールに神のような権限を与えています。これまで会ったこともない人が作ったツール。それらを検証する方法が全く