セキュリティ GitHub内部リポジトリ流出、Nx Console悪性版が入口に — 攻撃者主張の約3,800件と調査が一致、TeamPCPのサプライチェーン攻撃が連鎖中
Microsoft 傘下の GitHub は2026年5月20日、自社の内部リポジトリが外部に流出したインシデントを公表しました。CISO の Alexis Wales 氏が公式ブログで発表した内容によれば、攻撃者が主張する「約3,800件...
サプライチェーン攻撃
セキュリティ セキュリティ 偽OpenAI Privacy Filter、Hugging Faceで244,000ダウンロード——タイポスクワッティングからSefirah infostealerへの攻撃チェーンを解説
2026年5月7日、HiddenLayer Research Teamは、Hugging Face上で公開されていた悪意あるリポジトリ「Open-OSS/privacy-filter」を発見し、報告しました。このリポジトリはOpenAIが2...
セキュリティ OpenClawに相次ぐ認可バイパス脆弱性 ― CVE-2026-33579でペアリング権限からインスタンス全権掌握、多数の公開インスタンスが危険
本稿では、AIエージェントフレームワークOpenClawの権限昇格脆弱性CVE-2026-33579について、攻撃チェーンと実務上のリスクを解説する。本脆弱性はGitHub Security Advisory(GHSA)で2026年3月29...
セキュリティ Trivyサプライチェーン攻撃の全容 ── 脆弱性スキャナ自体が攻撃ベクターに変わった4週間
Aqua Securityが開発するオープンソース脆弱性スキャナ「Trivy」が、2月末から3月22日にかけて多段階のサプライチェーン攻撃を受けました。GitHub Actionsのバージョンタグ汚染、Docker Hubへの侵害イメージ配...
セキュリティ 盗んだGitHubトークンでPythonリポジトリ240超にforce-push――「ForceMemo」キャンペーンの手口
盗んだGitHubトークンでPythonリポジトリ240超にforce-push――「ForceMemo」キャンペーンの手口本稿では、サプライチェーンセキュリティ企業StepSecurityが発見し追跡している「ForceMemo」キャンペ...
セキュリティ Glassworm再来:不可視Unicodeを使ったサプライチェーン攻撃がGitHub・npm・VS Codeの151超リポジトリに拡大
Glassworm再来:不可視Unicodeを使ったサプライチェーン攻撃がGitHub・npm・VS Codeの151超リポジトリに拡大セキュリティ企業Aikido Securityが2026年3月13日に公開した調査レポートについて解説し...
セキュリティ npm侵害から72時間でAWS管理者権限へ——Google報告が示したUNC6426の攻撃経路
概要本稿では、npmパッケージ「Nx」のサプライチェーン侵害を起点として、わずか72時間で被害組織のAWS環境の管理者権限を奪取した攻撃事例について解説します。GoogleのCloud Threat Horizons Report H1 2...
セキュリティ GitHubのIssueタイトル一行からCline CLIの不正版が約4,000回ダウンロードされた「Clinejection」― プロンプトインジェクションがサプライチェーン攻撃に転化するまで
本稿では、AIコーディングツールClineのCI/CDパイプラインがプロンプトインジェクションを起点に侵害され、不正版パッケージが約4,000回ダウンロードされてOpenClawが無断でインストールされうる状態となった「Clinejecti...