トロイの木馬化された「jQuery」がnpmやGitHubで拡散

2024/07/09 211 users jQuery GitHub npm Phylum トロイ

海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視... 続きを読む

300万個ものiOSおよびmacOSアプリが強力なサプライチェーン攻撃にさらされていたことが明らかに

2024/07/03 6 users MacOSアプリ iOS CocoaPods macOS向け

iOSやmacOS向けのアプリケーション開発で利用されるライブラリ管理ツールの「CocoaPods」に、過去10年間にわたって脆弱(ぜいじゃく)性が存在していたことが明らかになりました。これにより、300万個ものiOSおよびmacOSアプリケーションがサプライチェーン攻撃の危機にさらされていたことが明らかになっています。 3 mill... 続きを読む

JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響

2024/06/26 110 users Polyfill.io マルウェア Research 影響

ウェブブラウザのバージョン間の違いを無効化するJavaScriptライブラリ「Polyfill.io」が、2024年2月のプロジェクトオーナー変更後、マルウェアが混入されてサプライチェーン攻撃に利用され、10万以上のサイトに影響が出ています。 Polyfill supply chain attack hits 100K+ sites https://sansec.io/research/polyfill-... 続きを読む

ni.zsh: npmインストール時のサプライチェーン攻撃を検知する機能を追加

2023/08/29 8 users Bun 機能 追加 npm YARN

npm/yarn/pnpm/bunを同じコマンドで扱えるni.zshに、npmで配布されているマルウェアを間違ってインストールするのを防ぐ機能を追加しました。 ni.zshについては、次の記事を参照してください。 npm/yarn/pnpm/bunを同じコマンドで扱える ni のzsh実装を書いた | Web Scratch npmパッケージのマルウェア npmパッケージと... 続きを読む

RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル（約1億3000万円）を提供

2022/07/12 89 users Rails RubyGems Shopify gem Ruby

RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル（約1億3000万円）を提供 Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト... 続きを読む

node-ipcに悪意あるコードが含まれている問題について

2022/03/17 26 users node-ipc メンテナー コード npmパッケージ 問題

node-ipcというnpmパッケージに悪意あるコードが含まれていた問題についてのメモ書きです。 node-ipcのメンテナーによるサプライチェーン攻撃のコードが含まれたバージョンが公開されていた問題です。 問題のあるバージョン 9.2.2 unpublish済み Hidden functionality in node-ipc · GHSA-8gr3-2gjw-jj7g · GitHub Advis... 続きを読む

多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた - piyolog

2021/07/11 109 users piyolog ランサムウェア 組織 リモート監視 多数

2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM（リモート監視・管理）製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する... 続きを読む

Amazon・Slack・Lyftなどを標的に「ソフトウェアの依存関係」を狙った新たなサプライチェーン攻撃が急増 - GIGAZINE

2021/03/11 8 users プログラミング言語 既存 特定 パッケージ GIGAZINE

いくつかのプログラミング言語には、特定の機能を定義した「パッケージ」と呼ばれるコードが存在しており、ソフトウェア開発者はパッケージを宣言することで特定の機能を組み込むことができます。多くのソフトウェアは全てのコードがゼロから記述されているのではなく、既存のパッケージと依存関係にありますが、このソ... 続きを読む

SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog

2020/12/19 64 users piyolog FireEye Solarwinds 米国

2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を... 続きを読む

低価格スマホに組み込まれたバックドア「Triada」の恐ろしさ | Forbes JAPAN（フォーブス ジャパン）

2019/06/12 11 users Triada フォーブス グーグル アンドロイド端末 ジャパン

フォーブスは以前から、一部の低価格スマホが出荷段階で、「Triada」と呼ばれるマルウェアに感染していることを報じてきた。グーグルは6月6日、同社のセキュリティブログ上で、これらのマルウェアがアンドロイド端末にバックドアを仕込み、サプライチェーン攻撃をしかけていたと発表した。 Triadaは2016年にカスペルスキ... 続きを読む

君のコンパイラや開発環境は侵害されていないか？――開発者が「サプライチェーン攻撃」に加担しないためにすべきこと：セキュリティ・アディッショナルタイム（31） - ＠IT

2019/05/06 11 users コンパイラ セキュア Kaspersky Lab リスク 開発

セキュリティ・アディッショナルタイム（31）：君のコンパイラや開発環境は侵害されていないか？――開発者が「サプライチェーン攻撃」に加担しないためにすべきこと セキュアな開発やコードスキャンに取り組むだけでは防ぎ切れないリスクとして「サプライチェーン攻撃」がある。Kaspersky Labは、2019年4月9～10日に開催... 続きを読む

正規版ソフトなのにマルウェアが混入、「サプライチェーン攻撃」の危険性｜WIRED.jp

2019/04/30 27 users 混入 マルウェア WIRED.jp 正規版 危険性

IMAGE BY ELENA LACEY; PHOTO: PEOPLEIMAGES/GETTY IMAGES コンピューターセキュリティ業界では、ソフトウェアの流通経路を狙った攻撃が注目されるようになっている。特定のデヴァイスやネットワークではなく、そこで使われているプログラムを提供する企業に攻撃を仕掛けるのだ。 3月末には、台湾のコンピューターメーカ... 続きを読む

先週のサイバー事件簿 - ASUS製ノートPCのユーザーは早急な対処を | マイナビニュース

2019/04/01 6 users サイバー事件簿 対処 マイナビニュース ユーザー ダイジェスト

3月25日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。 ASUS製ノートPCのアップデートソフトにサプライチェーン攻撃 台湾ASUSのアップデートソフト「ASUS Live Update」にサプライチェーン攻撃「ShadowHammer」が仕掛けられていたことが確認された。 カスペルスキー研究所によ... 続きを読む

ASUS、Live Updateを悪用したAPT攻撃を確認 - ITmedia エンタープライズ

2019/03/27 15 users APT攻撃 Asus 少数 プレスリリース 特定

台湾のASUSが配信したLive Updateソフトウェアにサプライチェーン攻撃が仕掛けられたという報道について、ASUSは2019年3月26日に発表したプレスリリースで、Live Updateが特定の組織や個人を執拗に狙うAPT攻撃に利用されていたことを確認した。 ASUSの発表によると、Live Updateサーバに対する高度な攻撃を通じ、少数の... 続きを読む

ASUS公式の自動更新ツールからマルウェア感染、日本ユーザーも標的になった“サプライチェーン攻撃”を確認 世界100万人以上に影響の可能性 - INTERNET Watch

2019/03/26 38 users 標的 INTERNET Watch マルウェア感染 影響 確認

続きを読む

ASUS、自動更新ソフトにバックドア発覚。100万台以上のPCにマルウェア感染のリスクか – すまほん!!

2019/03/26 24 users Asus すまほん マルウェア感染 Kaspersky リスク

セキュリティー企業Kasperskyは、自社ブログにて、ASUSのPCへのマルウェア感染について伝えました。 Sponsored Links サプライチェーン攻撃を検出するKasperskyの技術により攻撃が発覚。ASUSのノートPC、デスクトップのBIOS・UFEI・ソフトウェアを最新に保つための更新ソフト「ASUS Live Update Utility」にバックドアが... 続きを読む

ASUSの自動更新ソフトにバックドア。更新サーバーが乗っ取られユーザーに配布 - Engadget 日本版

2019/03/26 30 users Asus セキュリティ企業Kaspersky マルウェア

公式アプリがマルウェアに感染し、アプリストアで配布されるという、いわゆるサプライチェーン攻撃は残念なことに珍しい話でもなくなってきましたが、ASUSのPCがこのサプライチェーン攻撃を受けていたようです。 ロシアのセキュリティ企業Kasperskyによると、ASUS Live Updateが利用するアップデートサーバーが攻撃を受... 続きを読む

ASUSの自動更新を悪用したサプライチェーン攻撃、ユーザーにマルウェア配信 - ITmedia エンタープライズ

2019/03/26 27 users Asus Symantec マルウェア配信 ユーザー 自動更新

Kaspersky LabやSymantecによると、ASUSの自動更新システムが乗っ取られ、マルウェアの配信に利用されていたという。 ロシアのセキュリティ企業Kaspersky Labは3月25日、台湾のASUSが配信したLive Updateソフトウェアにサプライチェーン攻撃が仕掛けられ、自動更新を通じてユーザーにマルウェアが配信されていたことが分... 続きを読む

ASCII.jp：いま「サプライチェーン攻撃」を恐れるべき理由、カスペルスキーに聞く (1/2)

2018/01/16 20 users カスペルスキー APT攻撃 セキュリティ脅威 標的型攻撃 増加

昨年（2017年）末に発表されたカスペルスキーの2018年脅威予測レポートでは、今年警戒すべきセキュリティ脅威のひとつとして「サプライチェーン攻撃の増加」が挙げられている。攻撃手法としては決して新しいものではないが、APT攻撃（高度かつ持続的な標的型攻撃）における効果的な攻撃手法として悪用する攻撃グループが増える兆しが見られるという。 「Kaspersky Security Bulletin 20... 続きを読む