技術 2026年4月3日(金) 約7分 React2Shell悪用キャンペーン UAT-10608が766台のNext.jsホストから認証情報を大量窃取 Cisco Talosが追跡する攻撃グループUAT-10608がCVE-2025-55182(React2Shell)を使って766台のNext.jsホストを侵害。DBクレデンシャル、SSHキー、AWS/Stripe/GitHubトークンを自動収集するNEXUS Listenerの実態を解説する。 セキュリティ Next.js React 脆弱性 サプライチェーン
技術 2026年4月1日(水) 更新 約5分 Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚 Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。 セキュリティ Claude Code OpenAI npm サプライチェーン
技術 2026年3月31日(火) 約7分 CloudflareがClient-Side SecurityのGNN+LLM検出を全ユーザーに開放、誤検知を200分の1に削減 Cloudflareがクライアントサイドの悪意あるスクリプト検出にGNNとLLMの2段カスケードを導入し、ユニークスクリプトあたりの誤検知率を1.39%から0.007%に削減。有料アドオンだったAdvanced機能をセルフサーブ顧客にも開放した。 Cloudflare セキュリティ GNN LLM XSS サプライチェーン 機械学習
技術 2026年3月31日(火) 更新 約10分 週間1億DLのaxiosがnpmで乗っ取られ、クロスプラットフォームRATを投下 axios 1.14.1と0.30.4にpostinstallフック経由でRATドロッパーを仕込む偽依存関係plain-crypto-jsが注入された。メンテナアカウント侵害からC2通信、自己消去までの攻撃チェーン全容。 セキュリティ npm サプライチェーン マルウェア RAT
技術 2026年3月28日(土) 約4分 TeamPCPがtelnyx Python SDKをPyPI汚染、WAVオーディオに埋め込んだペイロードでAPI認証情報を窃取 2026年3月27日、telnyx Python SDK v4.87.1/4.87.2がPyPIで汚染された。TeamPCPがWAVファイルにペイロードを隠蔽する手法でOpenAI・Anthropic・AWS・GCPの認証情報を収集する。月間742K DL。 セキュリティ サプライチェーン PyPI マルウェア TeamPCP
技術 2026年3月27日(金) 約5分 GitHub Actionsの2026年セキュリティロードマップ tj-actionsやTrivy供給チェーン攻撃を受けたGitHubが、依存関係ロック・スコープ付きシークレット・Layer 7エグレスファイアウォールを軸にCI/CDパイプラインの攻撃面を削減する計画を公開した。 GitHub Actions CI CD サプライチェーン セキュリティ
技術 2026年3月25日(水) 更新 約4分 TeamPCPがLiteLLM PyPIパッケージを汚染、50種以上の認証情報を窃取するマルウェアを埋め込む LiteLLM 1.82.7/1.82.8がPyPIで約46分間汚染された。TeamPCPがTrivyのCI/CDを通じてPyPIトークンを盗み、SSHキー・AWS・Kubernetes・Docker認証情報など50種以上を収集するマルウェアを注入。フォークボムの副作用で発覚した。 セキュリティ サプライチェーン PyPI マルウェア LLM
技術 2026年3月15日(日) 約9分 GlassWormがOpen VSXで急拡大、拡張機能の依存関係を悪用したトランジティブ感染に手口が進化 Open VSX拡張機能72件・GitHubリポジトリ151件・npmパッケージ88件に及ぶGlassWormキャンペーンの拡大と、extensionDependenciesを踏み台にした新たなサプライチェーン手口の詳細。 セキュリティ サプライチェーン VS Code マルウェア npm
技術 2026年3月6日(金) 約15分 Clinejection: GitHubイシュータイトルから4000台の開発マシンにAIエージェントが降ってきた攻撃の全容 GitHubイシュータイトルへのプロンプトインジェクションを起点に、AIトリアージbot経由でnpmトークンを窃取し、悪意あるパッケージを公開した5段階の攻撃チェーンの詳細。 セキュリティ サプライチェーン npm Prompt Injection AIエージェント OpenClaw
技術 2026年3月4日(水) 約10分 「StegaBin」がPastebinのゼロ幅文字でC2を隠蔽し悪意あるnpmパッケージを配布 北朝鮮系Famous ChollimaがContagious Interviewキャンペーンの延長で26個のnpmパッケージを公開。Pastebinのエッセイにゼロ幅Unicode文字でC2を隠蔽し、31のVercelデプロイメント経由で9モジュールRATを展開する。 セキュリティ npm サプライチェーン マルウェア North Korea
技術 2026年2月25日(水) 約9分 AIエージェントを踏み台にするAMOS、OpenClaw SKILL.mdを経由したmacOS感染チェーン Trend MicroがAIエージェント経由の新しいAMOS配布手法を分析。OpenClaw上の悪性SKILL.mdが偽CLIインストール命令を仕込み、AIを仲介者として人間を操作する。 セキュリティ macOS AIエージェント マルウェア サプライチェーン OpenClaw
技術 2026年2月24日(火) 更新 約7分 npmサプライチェーンワーム「SANDWORM_MODE」がAI開発環境を標的にクリプトキーとCI secretsを窃取 Socketが19個の悪意あるnpmパッケージを使ったアクティブな攻撃キャンペーンを報告。Claude・Cursor・VS CodeなどのAI開発環境を特に標的とし、SSH鍵・npmトークン・APIキーを窃取したうえでワーム伝播する。 npm セキュリティ サプライチェーン マルウェア AI Development
