人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

悪意のあるPyPIパッケージAutomslc:Deezer音楽海賊版作戦

2025-03-02
悪意のあるPyPIパッケージAutomslc:Deezer音楽海賊版作戦

研究者らは、Deezerからの不正な音楽ダウンロードを調整する悪意のあるPyPIパッケージAutomslcを発見しました。10万回以上ダウンロードされたこのパッケージは、ハードコードされたクレデンシャルとC2サーバー(54.39.49[.]17:8031)を使用して、DeezerのAPI制限をバイパスし、完全なトラックをダウンロードしてDeezerの利用規約に違反しています。複数のアカウントとGitHubプロファイルを使用する脅威行為者は、分散型海賊版作戦を調整しており、ソフトウェアサプライチェーンのセキュリティの重要性と、開発者および組織がこのような攻撃から身を守る必要性を浮き彫りにしています。

続きを読む
(socket.dev)
テクノロジー APIの悪用

cURLとGoセキュリティチームがCVSSスコアシステムを拒否

2025-01-27
cURLとGoセキュリティチームがCVSSスコアシステムを拒否

cURLとGoのセキュリティチームは、脆弱性の評価における共通脆弱性識別システム(CVSS)の欠陥を公に批判し、より正確でコンテキストを重視したアプローチを求めています。CVSSの一律アプローチは、特に数十億のインストールを持つcURLのようなプロジェクトにおいて、誤解を招くスコアを生み出すことがよくあります。cURLの作成者であるDaniel Stenbergは、CVSSが特定のコンテキストを考慮していないため、スコアが過大評価または不正確になることを指摘しました。Goセキュリティチームも同様の意見を表明し、コンテキスト主導の深刻度評価を選択しました。これは、CVSSに対する不満の高まりを示しており、より優れた代替策を求める動きにつながっています。しかし、このコンテキスト主導のアプローチは、保守担当者がすべての使用事例を正確に評価することに苦労するため、課題に直面します。さらに、セキュリティ研究者とオープンソース保守担当者間の文化的な対立により、問題は複雑化しています。研究者は認知を求め、保守担当者は実際の影響に焦点を当てています。NVDのバックログ問題も状況を悪化させています。

続きを読む
(socket.dev)
開発 オープンソースセキュリティ 脆弱性評価