TokyoBlackHatNews

タグ: Python

cyberpress.org

「parsimonious」を騙る偽Pythonパッケージ、パッケージリポジトリ経由でマルウェアを拡散

脅威アクターが人気のオープンソースリポジトリへの侵入方法を次々と編み出すなか、ソフトウェアサプライチェーン攻撃は開発者エコシステムへの脅威であり続けています。 最近の調査では、ThreatLabzのセキュリティ研究者がPython Package Index(PyPI)上で悪意あるパッケージを発見しました。巧妙な偽装
bleepingcomputer.com

AI アプリ向け ChromaDB の最大深刻度の欠陥によるサーバーハイジャックが可能

ChromaDB プロジェクトの最新 Python FastAPI バージョンの最大深刻度の脆弱性により、認証されていない攻撃者が公開されているサーバー上で任意のコードを実行できます。 この欠陥はCVE-2026-45829として追跡されており、2月17日に ChromaDB に報告されました。それを発見した企業
gbhackers.com

重大なMarimo RCE脆弱性により攻撃者が悪意のあるコードをリモートで実行できる可能性

Marimo Pythonノートブックフレームワークで新たに開示された重大な脆弱性は、認証なしに攻撃者が任意のコマンドをリモートで実行できるため、サイバーセキュリティコミュニティ全体で深刻な懸念が生じています。 CVE-2026-39987として追跡されているこの欠陥は、WebSocketエンドポイントを公開しており
gbhackers.com

170個のnpmパッケージが乗っ取られ、GitHub、AWS、Kubernetesシークレットを盗む

ハッカーが大規模なサプライチェーン攻撃を仕掛け、170個以上のnpmパッケージと2つのPyPiライブラリを侵害した。これらは合わせて週に2億回以上ダウンロードされており、開発者とクラウドの機密認証情報を盗むために使用されている。 悪意のあるnpmパッケージには、インストール中に静かに実行される隠されたプレインストー
meterpreter.org

Python 3.15 ベータ版:より高速なスタートアップ、安定した自由スレッド化、新しい Tachyon プロファイラー

Python 3.15 の最初のベータ版が公開されました。最終リリースが10月1日に予定されている中、開発チームは機能フリーズを実施しており、これは今後のバージョンのアーキテクチャランドスケープが事実上確立されたことを意味しています。Python 3.15は、より高速なスタートアップシーケンス、自由スレッド化されたC
infosecurity-magazine.com

Deep#DoorなるPythonバックドアがWindowsで検出を回避

Windows システムを標的とする長期監視と認証情報盗取が可能なステルス Python ベースのバックドア フレームワークが発見されました。 Securonixからの研究によると、Deep#Doorと呼ばれるマルウェアは、難読化されたバッチスクリプトを使用して従来の検出方法を回避しながら永続的なインプラントをデプロ
meterpreter.org

毒されたパイプライン:GitHub Actionsの欠陥がいかにして人気の「Elementary-Data」ライブラリに浸透したか

ユビキタスなPythonライブラリであるelementary-dataは、機密の開発者テレメトリーの流出の導管として浮上しています。妥協されたバージョンはPyPIリポジトリだけでなく、プロジェクトの公式Dockerイメージにも浸透し、ユーザーベースの一部が日常的なアップデートを通じて無意識のうちに汚染されたビルドを摂