技術 2026年3月15日(日) 約9分 GlassWormがOpen VSXで急拡大、拡張機能の依存関係を悪用したトランジティブ感染に手口が進化 Open VSX拡張機能72件・GitHubリポジトリ151件・npmパッケージ88件に及ぶGlassWormキャンペーンの拡大と、extensionDependenciesを踏み台にした新たなサプライチェーン手口の詳細。 Security Supply Chain VSCode Malware npm
技術 2026年3月6日(金) 約15分 Clinejection: GitHubイシュータイトルから4000台の開発マシンにAIエージェントが降ってきた攻撃の全容 GitHubイシュータイトルへのプロンプトインジェクションを起点に、AIトリアージbot経由でnpmトークンを窃取し、悪意あるパッケージを公開した5段階の攻撃チェーンの詳細。 Security Supply Chain npm Prompt Injection AI Agent
技術 2026年3月4日(水) 約10分 「StegaBin」がPastebinのゼロ幅文字でC2を隠蔽し悪意あるnpmパッケージを配布 北朝鮮系Famous ChollimaがContagious Interviewキャンペーンの延長で26個のnpmパッケージを公開。Pastebinのエッセイにゼロ幅Unicode文字でC2を隠蔽し、31のVercelデプロイメント経由で9モジュールRATを展開する。 Security npm Supply Chain Malware North Korea
技術 2026年2月26日(木) 約6分 Cisco SD-WAN CVSS 10.0にClaude脆弱性3件、NuGet/npmサプライチェーン攻撃 Cisco SD-WAN認証バイパスとUAT-8616の3年間の継続攻撃、NuGet/npmサプライチェーン攻撃、Claude Code/Desktop Extensions/メキシコ政府侵害を扱う。 Security Cisco CVE Supply Chain npm NuGet AI Security Claude
技術 2026年2月24日(火) 更新 約7分 npmサプライチェーンワーム「SANDWORM_MODE」がAI開発環境を標的にクリプトキーとCI secretsを窃取 Socketが19個の悪意あるnpmパッケージを使ったアクティブな攻撃キャンペーンを報告。Claude・Cursor・VS CodeなどのAI開発環境を特に標的とし、SSH鍵・npmトークン・APIキーを窃取したうえでワーム伝播する。 npm Security Supply Chain Malware AI Development
技術 2025年12月10日(水) 約2分 【Next】npmが壊れたのでpnpmに切り替えた【React2Shell脆弱性】 Next.js/Reactの脆弱性対策でnpm installが謎のエラーで失敗。pnpmに切り替えたら即解決した記録 npm pnpm Node.js Next.js React セキュリティ トラブルシューティング 実験
