tag

#supply chain

このタグが付いた記事

Index

count=9
  1. セキュリティtheme: テクノロジー

    CI/CD脆弱性「Cordyceps」、Microsoft等の300超リポジトリが被害

    Novee Security が GitHub Actions のサプライチェーン脆弱性「Cordyceps」を公表。約3万リポジトリをスキャンし、300以上で完全な攻撃チェーンを確認した。

  2. セキュリティtheme: テクノロジー

    Red Hat の npm パッケージに Miasma ワーム侵入

    @redhat-cloud-services スコープの npm パッケージが供給網攻撃で改竄され、32 パッケージ・96 バージョンに認証情報窃取ワーム「Miasma」が混入。週間ダウンロード約 11.7 万件の規模で開発機 / CI 環境を狙う。

  3. セキュリティtheme: テクノロジー

    GitHub、社内 3,800 リポジトリ流出を確認 — 侵害 Nx Console 拡張が侵入起点

    GitHub が CISO 名義で内部リポジトリ侵害を公式認定。初報は 5 月 18 日の Nx Console 拡張サプライチェーン攻撃で、社員端末を経由して 3,800 件の社内リポジトリが攻撃グループ TeamPCP に窃取された。顧客 GitHub データ自体への影響は否定。

  4. セキュリティtheme: テクノロジー

    Socket、$60M Series C で $1B 評価到達 — AI 加速時代の OSS サプライチェーン攻撃を毎週 1000+ ブロック

    Thrive Capital 主導の Series C で評価額 $1B に到達。Anthropic / xAI / Cursor 等の AI ネイティブ企業を顧客に、悪性 npm / PyPI パッケージのダウンロード前ブロックを売りにする。

  5. セキュリティtheme: テクノロジー

    Nx Console VS Code 拡張に侵害版 — 開発者の認証情報やClaude設定まで窃取

    Nx Console (nrwl.angular-console) v18.95.0 が侵害版として VS Code Marketplace に公開。GitHub / npm / AWS / 1Password / Vault のトークンに加え、~/.claude/settings.json まで狙う 498KB のペイロードを配信していた。

  6. セキュリティtheme: テクノロジー

    TanStack の npm 42 パッケージが改竄、Mini Shai-Hulud ワーム再燃 ⇒ GitHub Actions の OIDC を窃取

    TanStack は 5 月 11 日 19:20 UTC ごろから 6 分間にわたり @tanstack/* 42 パッケージ 84 版が改竄され配布されたと公表しました。攻撃者は pull_request_target 経由で Actions キャッシュを汚染し、ランナー上の Worker プロセスから OIDC トークンをメモリ抽出して正規の SLSA 出所付きでマルウェアを公開。週ダウンロード 1,200 万を超える @tanstack/react-router を含む広範な依存に影響します。

  7. セキュリティtheme: テクノロジー

    JDownloader 公式サイトが侵害 ⇒ Windows / Linux インストーラに Python RAT が混入、5/6-7 DL 分が対象

    BleepingComputer は 5 月 9 日、ダウンロードマネージャ JDownloader の公式サイトが侵害され、5 月 6 日 0:01 UTC から 5 月 7 日にかけて配布された Windows「Alternative Installer」と Linux シェルインストーラが Python ベースの RAT に置き換えられていたと報じました。配布チャネルのうち macOS / Flatpak / Snap / Winget / 主要 JAR は影響を受けていません。

  8. セキュリティtheme: テクノロジー

    RansomHouse、Trellix のソースコード侵入を犯行声明 ⇒ VMware・Rubrik 管理画面のスクショも公開

    Trellix が 5 月 1 日に開示した『ソースコードリポジトリの一部への不正アクセス』について、ランサムウェアグループ RansomHouse が 5 月 7 日にリークサイトで犯行声明を出しました。同グループは Trellix 社内の VMware・Rubrik・Dell EMC 管理ダッシュボードを写したとされる 7 枚のスクリーンショットを根拠として公開し、被害がソースコードの範囲を越えてインフラ全体に及ぶ可能性が指摘されています。Trellix は『ソースコードの配布や流用の痕跡はない』と説明しています。

  9. ハードウェアtheme: テクノロジー

    鴻海 (Foxconn) 4 月売上 29.7% 増の過去最高 ⇒ AI サーバ部門が iPhone を逆転

    Foxconn (鴻海精密) が 5 月 5 日に発表した 4 月単月売上は前年同月比 29.74% 増の NT$832.1B (約 $26.34B) で 4 月としては過去最高。Nvidia GB200 ラックなど AI サーバ事業を含むクラウド・ネットワーク部門が同社内で初めて iPhone 含む消費家電部門を超え、売上比率は 40% : 38% となりました。