
.avif)

Ilyas Makari
執筆者: Ilyas Makari
140を超える人気のあるMastraのnpmパッケージがサプライチェーン攻撃の被害に遭う
141個のMastra npmパッケージが、インストール時にペイロードを密かにダウンロードして実行する悪意のある依存関係を注入するサプライチェーン攻撃により侵害されました。
複数のJetBrains IDEプラグインがAIキーの盗用で発覚
7つのベンダーアカウントの下で公開されている、少なくとも15個のJetBrains IDEプラグインによる組織的な攻撃により、ユーザーが設定画面に貼り付けたAIプロバイダーAPI 盗み出される。
改ざんされたRustのcrate「onering」がコードの流出を引き起こす
crates.io で公開されている、脆弱性が確認された onering Rust クレート v1.4.1 には、ビルドを行うたびに最新のコミットの差分データをホストされた Sentry エンドポイントへ送信する悪意のある build.rs が同梱されていました。
ちょっと待って、binding.gypって一体何ができるの? npmで最も奇妙なビルドシステムを探る
binding.gypについて深く掘り下げてみましょう。これは見過ごされがちなnpmビルドファイルですが、シェル展開、サンドボックス脱出、コンパイラの乗っ取りを通じて、インストール時に悪意のあるコードを実行する可能性があります。
Red Hatのnpmパッケージが侵害され、認証情報を盗むワームが拡散
@redhat-cloud-services の公式 npm パッケージが複数、オープンソース化されたマルウェア「Mini Shai-Hulud」を起源とする認証情報窃取型ワームに感染しました。このワームは、クラウドの認証情報や、CI/CD にわたる開発者向けツールを標的としています。
認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている
攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。
人気のPyTorchライブラリ「Lightning」が「Mini Shai-Hulud」によって侵害される
人気のあるPyTorch Lightningのバージョン2.6.2および2.6.3にマルウェアが発見され、「Mini Shai-Hulud」キャンペーンの一環として、認証情報、暗号資産ウォレット、VPN設定情報が盗み出されていた。
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
今すぐ、安全な環境へ。
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

