ハッカー、Microsoftの73パッケージを悪用してパスワード窃取マルウェアを拡散
6月5日、GitHubの自動不正利用検知システムが、Microsoftの主要4組織にまたがる73のリポジトリを突如無効化しました。影響を受けた組織は、Azure、Azure Samples、Microsoft、Microsoft Docsです。 この大規模な停止措置は、わずか105秒という異例の短時間で実行されており
タグ: PyPI
MiasmaサプライチェーンワームがMicrosoftの73リポジトリに侵入
5分で読めます悪名高いShai-Huludワームの亜種がMicrosoftのコードリポジトリに大混乱をもたらし、CI/CDワークフローの障害を引き起こすとともに、ソフトウェアサプライチェーンへの脅威が高まっているという懸念が深刻化しています。6月5日に展開されたこの攻撃は、セキュリティ研究者向けのオンラインコラボレーシ
Miasmaワームがオープンソース化——攻撃ツールキットがGitHubに流出
サイバー犯罪 パッケージへの不正注入事案が後を絶たない中、またも新たな脅威が広がりつつあります
GitHubがパスワード窃取マルウェアを配布するMicrosoftリポジトリを無効化
MicrosoftはGitHub上のAzure、microsoft、Azure-Samples、MicrosoftDocsといった各組織にまたがる73のリポジトリを削除し、継続的インテグレーション(CI)パイプラインに障害が発生しました。 この事案は6月5日に発生し、わずか105秒以内に封じ込められました。Micro
MicrosoftのGitHubリポジトリ70件超が無効化――ハッカーが危険なマルウェアを埋め込む
攻撃者がローテーションされていないGitHub Actionsのシークレットを悪用し、Microsoftの73件のリポジトリを侵害AzureやMicrosoft、Azure-Samples、MicrosoftDocsの各組織にMiasmaワームが埋め込まれるMicrosoftは影響を受けたリポジトリを削除し、顧客に
NPM・PyPIの100超パッケージを標的にした新たなShai-Huludサプライチェーン攻撃
セキュリティ研究者らが警告によると、Shai-Huludサプライチェーン攻撃の新たな亜種が、NPMおよびPyPIエコシステムの100を超えるパッケージを直撃しました。 2025年9月以降、この自己複製型ワームはオープンソースソフトウェア(OSS)コミュニティを標的とする複数のキャンペーンに悪用されており、Trivyセ
「Shai-Hulud」マルウェアキャンペーン、23件のPyPIパッケージを悪用した開発者狙いの攻撃
「Shai-Hulud」と名付けられたサプライチェーン攻撃キャンペーンが急速に拡大しており、悪意あるPythonパッケージを通じて開発者を標的にしています。研究者らは新たに武器化された23件のPyPIパッケージを確認しており、進行中のMini Shai-Hulud、Miasma、Hadesマルウェアオペレーションの被
Hugging Face Transformersの重大な脆弱性、リモートコード実行を可能に
Hugging Face Transformersライブラリに重大な脆弱性が発見され、数百万人にのぼる機械学習エンジニアや企業のAIパイプラインが、trust_remote_code=Trueを設定することなく静かにリモートコードを実行される危険にさらされていたことが明らかになりました。 CVE-2026-4372(
「parsimonious」を騙る偽Pythonパッケージ、パッケージリポジトリ経由でマルウェアを拡散
脅威アクターが人気のオープンソースリポジトリへの侵入方法を次々と編み出すなか、ソフトウェアサプライチェーン攻撃は開発者エコシステムへの脅威であり続けています。 最近の調査では、ThreatLabzのセキュリティ研究者がPython Package Index(PyPI)上で悪意あるパッケージを発見しました。巧妙な偽装
不正なPythonパッケージがParsimonious解析ライブラリを模倣
PyPI(Python Package Index)上に「parsimonius」という名称の不正パッケージを通じて、Pythonデベロッパーを標的とした巧妙なタイポスクワッティング攻撃が確認されました。 この不正パッケージは、Pythonで再帰下降パーサーを構築するためのよく知られたライブラリである正規の「pars
すべての記事を読み込みました