技術 2026年5月17日(日) 更新 約11分 Shai-HuludワームがGitHubでオープンソース化、TeamPCPがBreachForumsで派生攻撃チャレンジを開催 2026年5月12日にTeamPCPがShai-HuludワームをGitHub公開。Datadog解析でモジュール構成(Loader/Provider/Collector/Dispatcher/Sender/Mutator)とClaude Code SessionStartフック実装が判明、5月15日にBreachForumsで金銭報酬付き派生攻撃チャレンジが始動、コピーキャットによるFreeBSD対応PRも既に投下。検知の追加ポイントまで整理 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月14日(木) 約11分 Composer CVE-2026-45793でGitHub ActionsトークンがCIログに平文露出 Composer 2.9.8と2.2.28で修正されたCVE-2026-45793。GitHubの新形式GITHUB_TOKENがハイフンを含むことで検証に落ち、CIログへ平文表示される条件と、GitHubの再ロールアウト前に確認する範囲を整理する。 PHP セキュリティ CVE GitHub Actions サプライチェーン
技術 2026年5月12日(火) 更新 約29分 Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン 2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年3月27日(金) 約5分 GitHub Actionsの2026年セキュリティロードマップ tj-actionsやTrivy供給チェーン攻撃を受けたGitHubが、依存関係ロック・スコープ付きシークレット・Layer 7エグレスファイアウォールを軸にCI/CDパイプラインの攻撃面を削減する計画を公開した。 GitHub Actions CI CD サプライチェーン セキュリティ
技術 2026年2月24日(火) 更新 約6分 Claude Code SecurityのAI推論ベース脆弱性検出 Anthropicが発表したClaude Code Securityの技術的アプローチ、偽陽性対策、GitHub Action、競合ツールとの比較、そしてサイバーセキュリティ株$15B吹き飛びの背景を整理する。 Anthropic Claude セキュリティ SAST AI GitHub Actions 脆弱性検出
技術 2026年2月20日(金) 約4分 ClineのAIボットがサプライチェーン攻撃に悪用された「Clinejection」の全貌 AIコーディングツールClineのIssueトリアージボットがプロンプトインジェクション・キャッシュポイズニング・認証情報の混在という3段階の攻撃チェーンで悪用され、実際に約500万ユーザーを対象にした未承認パッケージ発行が発生した事案を解説する。 セキュリティ AI サプライチェーン Cline GitHub Actions
