人気のnpmパッケージ「art-template」がウォーターホール攻撃でバックドアされる
ハッカーは人気のあるart-template npmパッケージを侵害し、ステルス的なバックドアを注入しました。これにより、ユーザーのブラウザをCoruna級のiOSエクスプロイトフレームワークを配信する悪意あるウォーターホールサイトにリダイレクトしました。 このキャンペーンは、iOS 11から17.2を実行するiP
ハッカーは人気のあるart-template npmパッケージを侵害し、ステルス的なバックドアを注入しました。これにより、ユーザーのブラウザをCoruna級のiOSエクスプロイトフレームワークを配信する悪意あるウォーターホールサイトにリダイレクトしました。 このキャンペーンは、iOS 11から17.2を実行するiP
TeamPCPのShai-Hulud キャンペーンに関連する組織的なサプライチェーン攻撃で、600以上の悪意あるnpmパッケージが公開されました攻撃者はTanStack、Mistral、antvを含むエコシステムを侵害し、開発者環境に情報盗取ツールと永続化メカニズムを導入しました開発者は5月18日より前にリリ
最大規模のインシデントは、開発者が緊急にパッケージセキュリティをチェックすべき警告である、と専門家は述べています。 世界最大のオープンソースレジストリであるnode package manager(npm)が、今回は広く使用されているAn
npmエコシステムは現在、人気のある@antVパッケージと関連プロジェクトをターゲットにした大規模なサプライチェーン攻撃に直面しています。Socketの研究者は、ミニ・シャイ・フルード脅威アクターに関連する高度に調整された悪意のあるパブリッシュウェーブを特定しました。 atoolという重要なメンテナーアカウントを侵害
SAP エコシステム開発者を対象とした洗練されたサプライチェーン攻撃が発覚し、脅威アクターグループ TeamPCP が認証情報を盗む悪意のあるソフトウェアを広く使われている SAP npm パッケージに注入していました。 これは開発者ワークステーションとCI/CDパイプラインの両方を対象とし、GitHub トークン、
偽のパッケージはデータ、認証情報、シークレットを盗み、それらを使用して作成されたすべてのパッケージに感染することを目的としており、「完全な組織の乗っ取り」となる可能性があります。 アプリケーション開発者に対して、アプリケーション開発用の組み込み P
ポッドキャストへの招待や日常的なプロフェッショナルな打ち合わせなど、一見何気ない交換から始まるものが、洗練された侵入の前置きとなり、敵対者に数百万の下流プロジェクトへのアクセスを与える可能性がある。ここ数週間、著名なNode.jsライブラリの複数の保守管理者が、明かしたところ、同一のソーシャルエンジニアリング作戦の
脅威アクターがStrapi エコシステムを狙った新たな供給チェーン攻撃を仕掛けており、36 個の悪意あるNPM パッケージが関与していることが、供給チェーンセキュリティ企業SafeDep によって明らかにされました。 Node.js 上に構築されたオープンソースのヘッドレスCMS であるStrapi は、開発者がウ
サイバーセキュリティ研究者は、人気のあるStrapiコンテンツ管理システムのプラグインに偽装した36個の悪質なnpmパッケージを含む高度なサプライチェーン攻撃を発見しました。 これらのパッケージは複数の偽開発者アカウントを使用して公開されました。これらは高度な悪用技術を使用して実世界の本番環境を標的にするように設計さ
Strapi CMSプラグインになりすましている36個の悪質なnpmパッケージを含む、調整されたサプライチェーン攻撃が発見されました。Redis遠隔コード実行(RCE)、認証情報収集、永続的なコマンド・アンド・コントロール(C2)マルウェアなど、多様なペイロードを配信しています。 このキャンペーンは、4つのダミーnp
すべての記事を読み込みました