技術 2026年5月13日(水) 約5分 RubyGemsが500件超の悪性パッケージ対応で新規登録を一時停止 RubyGems.orgは悪性スパム投稿への対応として新規アカウント登録を停止した。500件超の悪性パッケージはyank済みで、既存ユーザーのgem installとpushは影響なし。新規gem採用や公開アカウント作成時の確認対象を絞る。 セキュリティ サプライチェーン マルウェア
技術 2026年5月12日(火) 更新 約22分 Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン 2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月9日(土) 約6分 GoogleのAndroidアプリ公開検証は署名済みの別物を見つける仕組み Googleが2026年5月以降のAndroidアプリにBinary Transparencyを拡大。署名は出自を示すが本番リリースかは別問題で、公開ログがその穴を埋める。対象はGoogle製のみ、検証はADB+CLIの研究者向きツール。 Android Google セキュリティ サプライチェーン
技術 2026年4月24日(金) 約6分 VercelがContext.ai起点と独立の先行侵害を4/23に確認、Lumma Stealer経由のVercelトークン直接窃取も想定 Vercelが4/23に公開した続報で、Context.ai侵害とは独立した顧客アカウントの先行侵害を確認した。Lumma Stealerの感染経路、ShinyHuntersの$2M売却リスト、non-sensitive環境変数の実体まで含めて整理する。 Vercel セキュリティ OAuth インシデント マルウェア サプライチェーン
技術 2026年4月20日(月) 更新 約5分 Context.ai侵害がOAuthチェーンでVercel本体まで到達したセキュリティインシデント Vercelが2026年4月19日に公開した公式インシデント告知。Context.aiのGoogle Workspace OAuthアプリ侵害を起点に、Vercel従業員のGoogle Workspaceアカウント乗っ取り、一部プロジェクトの環境変数アクセスまでつながった経緯と、利用者が今すぐ確認すべき項目を整理する。 Vercel セキュリティ OAuth Google Workspace インシデント サプライチェーン
技術 2026年4月11日(土) 約9分 GlassWormがZigコンパイルのネイティブドロッパーで全IDEに感染する新手口 GlassWormキャンペーンの最新波がZig言語でコンパイルしたネイティブバイナリをVS Code拡張機能に同梱し、マシン上のVS Code・Cursor・Windsurf・VSCodium・Positron全てに第2段ペイロードをサイレントインストールする。 セキュリティ サプライチェーン VS Code マルウェア Zig
技術 2026年4月11日(土) 約12分 MarimoのCVSS 9.3 pre-auth RCEとAstralが公開したuvサプライチェーン防御 Python notebookのMarimoでCVSS 9.3の未認証RCEが悪用された事例と、uvとruffを開発するAstralが公開したCI/CDパイプライン保護・Trusted Publishing・Sigstore attestationの包括的なOSSセキュリティ対策を対比する。 Security Python CVE RCE サプライチェーン PyPI Sigstore
技術 2026年4月6日(月) 約19分 オープンソースMCPサーバー50件をスキャンして見つかった脆弱性の実態 50件のオープンソースMCPサーバーを自動スキャンした結果、61%で入力バリデーション欠如が見つかった。Playwright MCPやPuppeteer MCPなど有名サーバーでの脆弱性事例を整理し、MCPサーバーを使わずCLIで直接叩くべき場面との使い分けも考える。 セキュリティ MCP AIエージェント サプライチェーン
技術 2026年4月5日(日) 約12分 偽Strapiプラグイン36個がRedis RCEとPostgreSQL窃取で暗号資産取引所を狙い撃ちにしていた npmレジストリにStrapi CMSプラグインを装った36の悪性パッケージが公開された。8種のペイロードがRedis経由のcrontab注入、PostgreSQL直接接続、リバースシェル、永続インプラントを展開。標的は暗号資産取引所Guardarianとみられる。 セキュリティ npm サプライチェーン マルウェア Redis
技術 2026年4月5日(日) 約7分 axiosは単発ではなかった、UNC1069は「Openfort」名義でFastifyやLodash、dotenvのメンテナまで狙っていた axios侵害の続報。GitHub issue、Socket、Google、Microsoftの公開情報を突き合わせると、UNC1069/Sapphire SleetはMocha、Fastify、Lodash、dotenv、Node.jsコア関係者まで同じソーシャルエンジニアリングで接触していた。確認できた標的と共通パターンを整理する。 セキュリティ npm Node.js サプライチェーン ソーシャルエンジニアリング
技術 2026年4月3日(金) 約8分 axiosメンテナが語った北朝鮮UNC1069の手口、偽Slackに招待されTeams会議でRATを踏んだ axiosポストモーテムでメンテナJason Saaymanが語ったソーシャルエンジニアリングの全容。偽企業のSlackワークスペース、偽Teams会議、RAT経由の端末掌握。2FAもOIDCも突破された。 セキュリティ npm サプライチェーン ソーシャルエンジニアリング RAT
技術 2026年4月3日(金) 約7分 React2Shell悪用キャンペーン UAT-10608が766台のNext.jsホストから認証情報を大量窃取 Cisco Talosが追跡する攻撃グループUAT-10608がCVE-2025-55182(React2Shell)を使って766台のNext.jsホストを侵害。DBクレデンシャル、SSHキー、AWS/Stripe/GitHubトークンを自動収集するNEXUS Listenerの実態を解説する。 セキュリティ Next.js React 脆弱性 サプライチェーン
