技術 2026年5月31日(日) 約8分 npm・PyPI・Crates.ioをまたぐTrapDoorが、Rustのbuild.rsとSui/Moveのキーストアを狙う暗号資産ステイラー SocketがTrapDoorとして追跡する34パッケージは、npmのpostinstall・PyPIのimport時実行・Crates.ioのbuild.rsを同時に使うクロスレジストリ型の暗号資産ステイラー。Sui/Move/Solana/Aptos開発者の鍵を主目的に、レジストリごとに発火点も暗号化方式も違う点を整理した。 セキュリティ npm PyPI Rust サプライチェーン マルウェア AIエージェント
技術 2026年4月11日(土) 約12分 MarimoのCVSS 9.3 pre-auth RCEとAstralが公開したuvサプライチェーン防御 Python notebookのMarimoでCVSS 9.3の未認証RCEが悪用された事例と、uvとruffを開発するAstralが公開したCI/CDパイプライン保護・Trusted Publishing・Sigstore attestationの包括的なOSSセキュリティ対策を対比する。 Security Python CVE RCE サプライチェーン PyPI Sigstore
技術 2026年3月28日(土) 約4分 TeamPCPがtelnyx Python SDKをPyPI汚染、WAVオーディオに埋め込んだペイロードでAPI認証情報を窃取 2026年3月27日、telnyx Python SDK v4.87.1/4.87.2がPyPIで汚染された。TeamPCPがWAVファイルにペイロードを隠蔽する手法でOpenAI・Anthropic・AWS・GCPの認証情報を収集する。月間742K DL。 セキュリティ サプライチェーン PyPI マルウェア TeamPCP
技術 2026年3月25日(水) 更新 約4分 TeamPCPがLiteLLM PyPIパッケージを汚染、50種以上の認証情報を窃取するマルウェアを埋め込む LiteLLM 1.82.7/1.82.8がPyPIで約46分間汚染された。TeamPCPがTrivyのCI/CDを通じてPyPIトークンを盗み、SSHキー・AWS・Kubernetes・Docker認証情報など50種以上を収集するマルウェアを注入。フォークボムの副作用で発覚した。 セキュリティ サプライチェーン PyPI マルウェア LLM
