Generatived(Beta)|生成AIの最新ニュースとトレンドを提供
%20(1).webp)
Microsoft npm攻撃で32パッケージ改ざん
Generatived
26/6/5 0:00
Microsoft(米国ワシントン州レドモンド)は、大規模なnpmサプライチェーン攻撃を確認したと発表した。@redhat-cloud-services配下の32パッケージ、90超のバージョンが改ざんされ、正規のCI/CD公開フローを悪用して配布されたという。
同社によると、攻撃者はRedHatInsights/javascript-clientsのCI/CD環境を侵害し、正規署名付きの悪性パッケージを公開したとみられる。インストール時に実行されるスクリプトを通じて追加ペイロードが展開され、複数の認証情報を窃取する仕組みが組み込まれていたという。
解析の結果、GitHubやnpm、AWS、Azure、Google Cloud、HashiCorp Vault、Kubernetesなどの認証情報を収集する機能を確認したほか、CI/CDランナーのメモリから機密情報を取得する動作も見つかった。さらに改ざんパッケージを再公開し、感染を拡大させる自己増殖機能も備えていたという。
Microsoftは調査結果をnpm運営側と共有し、対象パッケージの削除や不正公開防止策が実施されたと説明した。利用者に対しては影響を受けたパッケージの確認や認証情報のローテーション、CI/CD環境の監査などを推奨している。
最新のニュース
はてなtoittaにMCPサーバーβ版提供開始
26/6/5 0:00
はてな(京都市中京区)は、AIを活用したインタビュー分析SaaS「toitta」において、MCP(Model Context Protocol)サーバーのβ版提供を開始したと発表した。
AIデータ物流最適化AIのPoC募集開始
26/6/5 0:00
AIデータ(東京都港区)は、物流業界向けに配車・積載最適化ソリューション「AI LogiPro on IDX」を活用したPoCパートナー企業3社の募集を開始したと発表した。
%20(1).webp)
Copyright © 2024 Generatived - All right Reserved.
ニュース
フォローをお願いします
言語
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
フォローをお願いします
言語
最新のニュース
はてなtoittaにMCPサーバーβ版提供開始
26/6/5 0:00
はてな(京都市中京区)は、AIを活用したインタビュー分析SaaS「toitta」において、MCP(Model Context Protocol)サーバーのβ版提供を開始したと発表した。
AIデータ物流最適化AIのPoC募集開始
26/6/5 0:00
AIデータ(東京都港区)は、物流業界向けに配車・積載最適化ソリューション「AI LogiPro on IDX」を活用したPoCパートナー企業3社の募集を開始したと発表した。