#supply-chain
このタグが付いた記事
Index
count=6- セキュリティtheme: テクノロジー
WordPress 主要プラグインの CDN 改ざんで 120 万サイト規模の供給網攻撃
OptinMonster や PushEngage など Awesome Motive 製プラグインの CDN が改ざんされ、管理者ログイン時に偽の管理者アカウントを作成するスクリプトが配信された。
- セキュリティtheme: テクノロジー
TeamPCP が Shai-Hulud ソースを GitHub 公開 ⇒ 5 日後に模倣攻撃が npm 出現 — chalk-tempalte など 4 パッケージ
BleepingComputer は 5 月 18 日、漏洩した Shai-Hulud ワームのソースコードを使った npm 模倣攻撃 4 件を確認したと報じた。TeamPCP が 5 月 12 日に GitHub でソースを公開してから 5 日、難読化すらしない素のクローン chalk-tempalte などが既に流通している。
- セキュリティtheme: テクノロジー
Grafana、GitHub トークン窃取で社内コード流出 — CoinbaseCartel の恐喝は拒否
Grafana Labs が 5 月 16 日に GitHub 環境への不正アクセスを公表。攻撃者は Fork → 悪性 workflow で特権トークンを窃取し非公開リポジトリ 5 件を取得、CoinbaseCartel として恐喝を試みたが同社は支払いを拒否した。
- セキュリティtheme: テクノロジー
PraisonAI に認証バイパス CVE-2026-44338 — 公開 4 時間で攻撃を観測
オープンソースのマルチエージェント基盤 PraisonAI で認証不要のエンドポイントが露出する CVE-2026-44338 が公表され、公開からわずか 3 時間 44 分後にスキャンと攻撃が観測された。
- セキュリティtheme: テクノロジー
Foxconn 北米工場が Nitrogen ランサム被害 ⇒ Apple/Nvidia の機密 8TB を窃取と犯行声明
Foxconn が 5/1 から続く北米工場のサイバー攻撃を確認。二重恐喝型 Nitrogen が Apple、Nvidia、Dell、Intel、Google の機密 11M ファイル (8TB) 窃取を主張している。
- セキュリティtheme: テクノロジー
PyTorch Lightning 2.6.2/2.6.3 が PyPI で改ざん 認証情報窃取マルウェアが混入、42 分で隔離
機械学習ライブラリ PyTorch Lightning の悪意あるバージョン 2.6.2 / 2.6.3 が 4 月 30 日に PyPI へ公開された。インポート時に自動実行される難読化 JavaScript ペイロードが SSH キー、シェル履歴、クラウド認証情報、GitHub と npm のトークン、暗号資産ウォレットなどを窃取する。PyPI は約 42 分で同パッケージを隔離。SAP 系 npm を狙った『Mini Shai-Hulud』キャンペーンの一環と見られ、TeamPCP に帰属される。