2026年7月14日、AsyncAPI エコシステムの複数の npm パッケージに悪性コードが注入されました。一部は週間数百万ダウンロードされる、広く利用されているパッケージです。 注入された悪性コードは、ワーム型マルウェアです。require() や import された際、…
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 これまで公開した記事にて、GitHub Actionsにおける攻撃手法や防御策、緩和策を解説してきました。 Vol.1: 相次ぐGitHub Actions 侵害から学ぶ、初期ア…
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)と佐藤(@teppay_sec)です。 本シリーズでは全4回にわたり、GitHub Actionsのセキュリティについて体系的に解説します。まだお読みでない方は、Vol.1からご覧い…
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 本シリーズの前回記事では、GitHub Actionsに対する初期アクセスの手法と対策を解説しました。まだお読みでない方は、先に前回の記事をご覧いただくこ…
はじめに:なぜ今、GitHub Actionsのセキュリティなのか GitHub Actionsが侵害されると何が起きるか GitHub Actionsに対する攻撃の事例分析 脆弱なトリガー構成を悪用したインジェクション Ultralytics(2024年12月) nx(2025年8月) タグ汚染によるサプライチェ…
2026年6月17日、mastra および @mastra/* の複数パッケージの改ざん(ソフトウェアサプライチェーン攻撃)が発生しました。悪性の依存パッケージ easy-day-js が注入されています。 easy-day-js は postinstall フックにより C2 サーバからマルウェアペイロ…
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの大塚 (@Alphe) です。 最近、AIを活用したバイブコーディングでブラウザ拡張機能を開発するケースが増えています。「コードが書けなくてもChrome拡張を作れる — AI時代の個人開発…
2026年5月12日、Mini Shai-Hulud キャンペーンの第二波が発生しました。TanStack Router を起点に、UiPath、Mistral AI SDK、DraftLab 等を含む 199 以上の npm パッケージが侵害されています。本稿執筆時点で、侵害可能性は継続しています。 第一波(4月29…
2026年4月29日から30日にかけて、複数の主要パッケージが連続して侵害されました。npm 上では SAP CAP の @cap-js/sqlite / @cap-js/postgres / @cap-js/db-service および SAP の mbt、加えて intercom-client が、PyPI 上では PyTorch Lightning(lightnin…
Claude CodeやCursorをはじめとするAIエージェントを活用した「バイブコーディング」が広まる一方で、`.env`の認証情報漏洩や悪意あるパッケージのインストールなど、従来の開発では起きにくかったセキュリティインシデントが報告されています。本記事では、…
2026年4月23日、オープンソースのパスワードマネージャ Bitwarden の CLI パッケージ @bitwarden/cli の npm 版が侵害されました。攻撃者はバージョン 2026.4.0 を公開し、preinstall フック経由で情報を窃取するマルウェアを実行させました。本記事は、手元…
はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの村上です。入社してから5年ほどWebアプリケーションを中心に脆弱性診断を担当しています。 近年、言語やフレームワークの進化により、SQL Injectionなどの古典的脆弱性は減少傾向に…