人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

緊急警報:NPMエコシステムが大量のサプライチェーン攻撃を受ける

2025-09-16
緊急警報:NPMエコシステムが大量のサプライチェーン攻撃を受ける

人気の@ctrl/tinycolorパッケージ(毎週200万回以上のダウンロード)を含む40個以上のnpmパッケージが、高度なサプライチェーン攻撃を受け、侵害されました。攻撃者は自己増殖メカニズムを使用してダウンストリームの依存関係に感染させ、カスケード状の侵害を引き起こしました。ペイロードはWebpackでバンドルされたスクリプトで、AWS、GCP、GitHubなどのクラウド資格情報と機密情報を盗み、GitHub Actionsを通じて永続的なバックドアを確立します。この攻撃により、広範囲にわたる資格情報の盗難が発生しました。影響を受けたパッケージを確認し、すべての資格情報をローテーションする必要があります。

続きを読む
(www.stepsecurity.io)
開発

GitHub Actionsへの悪意のあるコード挿入:tj-actions/changed-filesが侵害される

2025-03-15
GitHub Actionsへの悪意のあるコード挿入:tj-actions/changed-filesが侵害される

23,000以上のリポジトリに影響を与えるtj-actions/changed-files GitHub Actionで重大なセキュリティインシデントが発生しました。攻撃者は、複数のバージョンタグを悪意のあるコミットを指すように遡及的に変更し、公開されたビルドログにCI/CDシークレットを公開しました。StepSecurity Harden-Runnerはこの異常を検出しました。侵害されたアクションは、Runner Workerプロセスからシークレットをダンプする悪意のあるPythonスクリプトを実行します。ただちに措置を講じる必要があります。影響を受けたアクションの使用を停止し、ビルドログに漏洩したシークレットがないか確認してください。

続きを読む
(www.stepsecurity.io)
開発