技術 2026年4月11日(土) 約9分 GlassWormがZigコンパイルのネイティブドロッパーで全IDEに感染する新手口 GlassWormキャンペーンの最新波がZig言語でコンパイルしたネイティブバイナリをVS Code拡張機能に同梱し、マシン上のVS Code・Cursor・Windsurf・VSCodium・Positron全てに第2段ペイロードをサイレントインストールする。 セキュリティ サプライチェーン VS Code マルウェア Zig
技術 2026年4月11日(土) 約12分 MarimoのCVSS 9.3 pre-auth RCEとAstralが公開したuvサプライチェーン防御 Python notebookのMarimoでCVSS 9.3の未認証RCEが悪用された事例と、uvとruffを開発するAstralが公開したCI/CDパイプライン保護・Trusted Publishing・Sigstore attestationの包括的なOSSセキュリティ対策を対比する。 Security Python CVE RCE サプライチェーン PyPI Sigstore
技術 2026年4月6日(月) 約19分 オープンソースMCPサーバー50件をスキャンして見つかった脆弱性の実態 50件のオープンソースMCPサーバーを自動スキャンした結果、61%で入力バリデーション欠如が見つかった。Playwright MCPやPuppeteer MCPなど有名サーバーでの脆弱性事例を整理し、MCPサーバーを使わずCLIで直接叩くべき場面との使い分けも考える。 セキュリティ MCP AIエージェント サプライチェーン
技術 2026年4月5日(日) 約12分 偽Strapiプラグイン36個がRedis RCEとPostgreSQL窃取で暗号資産取引所を狙い撃ちにしていた npmレジストリにStrapi CMSプラグインを装った36の悪性パッケージが公開された。8種のペイロードがRedis経由のcrontab注入、PostgreSQL直接接続、リバースシェル、永続インプラントを展開。標的は暗号資産取引所Guardarianとみられる。 セキュリティ npm サプライチェーン マルウェア Redis
技術 2026年4月5日(日) 約7分 axiosは単発ではなかった、UNC1069は「Openfort」名義でFastifyやLodash、dotenvのメンテナまで狙っていた axios侵害の続報。GitHub issue、Socket、Google、Microsoftの公開情報を突き合わせると、UNC1069/Sapphire SleetはMocha、Fastify、Lodash、dotenv、Node.jsコア関係者まで同じソーシャルエンジニアリングで接触していた。確認できた標的と共通パターンを整理する。 セキュリティ npm Node.js サプライチェーン ソーシャルエンジニアリング
技術 2026年4月3日(金) 約8分 axiosメンテナが語った北朝鮮UNC1069の手口、偽Slackに招待されTeams会議でRATを踏んだ axiosポストモーテムでメンテナJason Saaymanが語ったソーシャルエンジニアリングの全容。偽企業のSlackワークスペース、偽Teams会議、RAT経由の端末掌握。2FAもOIDCも突破された。 セキュリティ npm サプライチェーン ソーシャルエンジニアリング RAT
技術 2026年4月3日(金) 約7分 React2Shell悪用キャンペーン UAT-10608が766台のNext.jsホストから認証情報を大量窃取 Cisco Talosが追跡する攻撃グループUAT-10608がCVE-2025-55182(React2Shell)を使って766台のNext.jsホストを侵害。DBクレデンシャル、SSHキー、AWS/Stripe/GitHubトークンを自動収集するNEXUS Listenerの実態を解説する。 セキュリティ Next.js React 脆弱性 サプライチェーン
技術 2026年4月1日(水) 約5分 Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚 Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。 セキュリティ Claude Code OpenAI npm サプライチェーン
技術 2026年3月31日(火) 約7分 CloudflareがClient-Side SecurityのGNN+LLM検出を全ユーザーに開放、誤検知を200分の1に削減 Cloudflareがクライアントサイドの悪意あるスクリプト検出にGNNとLLMの2段カスケードを導入し、ユニークスクリプトあたりの誤検知率を1.39%から0.007%に削減。有料アドオンだったAdvanced機能をセルフサーブ顧客にも開放した。 Cloudflare セキュリティ GNN LLM XSS サプライチェーン 機械学習
技術 2026年3月31日(火) 更新 約10分 週間1億DLのaxiosがnpmで乗っ取られ、クロスプラットフォームRATを投下 axios 1.14.1と0.30.4にpostinstallフック経由でRATドロッパーを仕込む偽依存関係plain-crypto-jsが注入された。メンテナアカウント侵害からC2通信、自己消去までの攻撃チェーン全容。 セキュリティ npm サプライチェーン マルウェア RAT
技術 2026年3月27日(金) 約5分 GitHub Actionsの2026年セキュリティロードマップ tj-actionsやTrivy供給チェーン攻撃を受けたGitHubが、依存関係ロック・スコープ付きシークレット・Layer 7エグレスファイアウォールを軸にCI/CDパイプラインの攻撃面を削減する計画を公開した。 GitHub Actions CI CD サプライチェーン セキュリティ
技術 2026年3月25日(水) 更新 約4分 TeamPCPがLiteLLM PyPIパッケージを汚染、50種以上の認証情報を窃取するマルウェアを埋め込む LiteLLM 1.82.7/1.82.8がPyPIで約46分間汚染された。TeamPCPがTrivyのCI/CDを通じてPyPIトークンを盗み、SSHキー・AWS・Kubernetes・Docker認証情報など50種以上を収集するマルウェアを注入。フォークボムの副作用で発覚した。 セキュリティ サプライチェーン PyPI マルウェア LLM
