.avif)
チャーリー・エリクセン
チャーリー・エリクセンは、Aikido のセキュリティ研究員であり、製品開発やリーダーシップ職を含むITセキュリティ分野で豊富な経験を持つ。jswzlの創設者であり、以前はSecure Code Warriorでセキュリティ研究員として勤務し、Adversaryを共同設立した。
ブログ記事 チャーリー・エリクセン
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
私たちは幸運だった:起こりかけたサプライチェーン災害
広く使われている18のオープンソースパッケージが危険にさらされ、何十億回もダウンロードされ、ほぼすべてのクラウド環境に組み込まれた。コミュニティは弾丸をかわした。しかし、この危機一髪の危機は、ソフトウェアのサプライチェーンがいかに脆弱であるかを示している。
react-native-aria攻撃の背後にいる脅威行為者を深く考察する
私たちは、npm上のreact-native-ariaパッケージを侵害した脅威行為者の活動と、彼らがどのように攻撃を進化させているかを調査している。
悪質な暗号窃盗パッケージ、北朝鮮の作戦でWeb3開発者を標的に
Aikido 、偽のnpmパッケージ「web3-wrapper-ethers」を用いた北朝鮮関連のサプライチェーン攻撃を明らかにした。この攻撃はWeb3開発者から秘密鍵を窃取する目的で行われた。脅威主体はVoid Dokkaebiと関連しており、過去の北朝鮮による暗号資産窃取作戦と類似している。攻撃の手口と被害を受けた場合の対応策を解説する。
活発化するNPM攻撃:GlueStack用の16のReact Nativeパッケージが一夜にしてバックドアされる
巧妙なサプライチェーン攻撃により、NPM上のreact-native-ariaに関連するパッケージが積極的に侵害され、難読化によって隠されたステルス性の高いリモートアクセス型トロイの木馬(RAT)が展開され、毎週100万件以上ダウンロードされるモジュール全体に広がっている。
ご招待しますGoogleカレンダー招待とPUAによるマルウェア配信
攻撃者は、悪意のあるGoogle招待とUnicodeの隠し文字「Private Use Access」(PUA)を使用して、悪意のあるNPMパッケージを見事に難読化し隠蔽しました。
今すぐ安全を確保しましょう
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。
.avif)
