github

News

ハッカー、公開されたGit設定ファイルから15,000件のクラウド認証情報を盗む

EmeraldWhale」と名付けられた大規模な悪意あるキャンペーンが、公開されたGit設定ファイルをスキャンし、数千のプライベート・リポジトリから15,000以上のクラウドアカウント認証情報を盗み出した。 このキャンペーンを発見したSys...
News

巧妙な「GitHub Scanner」キャンペーン、レポを悪用してマルウェアをプッシュ

巧妙な脅威キャンペーンがGitHubリポジトリを悪用し、オープンソースプロジェクトのリポジトリを頻繁に利用するユーザーや、そこからのメール通知を購読しているユーザーをターゲットに、パスワードを盗むマルウェア「Lumma Stealer」を配...
News

GitHubのコメント欄が悪用され、修正プログラムを装ったパスワード窃盗マルウェアがプッシュされる

GitHubが悪用され、情報窃取マルウェア「Lumma Stealer」がプロジェクトのコメントに投稿された偽の修正プログラムとして配布されている。 このキャンペーンが最初に報告されたのは、teloxide rustライブラリのコントリビュ...
News

GitHub Enterprise Serverに重大な認証バイパスの脆弱性

GitHub Enterprise Server の複数のバージョンに影響する重大な脆弱性が悪用され、認証をバイパスして攻撃者がマシンの管理者権限を取得できる可能性があります。 このセキュリティ問題はCVE-2024-6800として特定され...
News

GitHub Actionsのアーティファクト、人気プロジェクトで認証トークンの漏えいが見つかる

Google、Microsoft、AWS、Red Hatなど、複数の著名なオープンソースプロジェクトが、CI/CDワークフローのGitHub Actions成果物を通じてGitHub認証トークンを流出していることが判明した。 これらのトーク...
News

マルウェア配布サービスに3,000以上のGitHubアカウントが使用される

Stargazer Goblin」として知られる脅威行為者は、情報を盗むマルウェアをプッシュするGitHub上の3,000以上の偽アカウントからマルウェアDistribution-as-a-Service(DaaS)を作成した。 このマルウ...
News

ニューヨーク・タイムズ、GitHubレポのデータ流出でフリーランサーに警告

ニューヨーク・タイムズ紙は、2024年1月にGitHubリポジトリに侵入され、機密個人情報の一部が盗まれ、流出したことを非公開の寄稿者に通知した。 タイムズ紙が先週伝えたように、攻撃者は公開された認証情報を使って同紙のGitHubリポジトリ...
News

JetBrains、GitHubのアクセストークンを公開するIntelliJ IDEのバグを警告

JetBrainsは、同社の統合開発環境(IDE)アプリIntelliJのユーザーに影響を与え、GitHubのアクセストークンを公開する重大な脆弱性にパッチを当てるよう顧客に警告した。 CVE-2024-37051として追跡されているこのセ...
News

Gitloker攻撃はGitHubの通知を悪用して悪意のあるOAuthアプリをプッシュする

フィッシング攻撃で GitHub のセキュリティチームや採用チームになりすまし、悪意のある OAuth アプリを使ってリポジトリを乗っ取り、侵害されたリポジトリを消去する恐喝キャンペーンが現在進行中です。 少なくとも2月以降、このキャンペー...
News

ニューヨーク・タイムズのソースコードがGitHubトークンを使って盗まれる

2024年1月、ニューヨーク・タイムズの内部ソースコードとデータが同社のGitHubリポジトリから盗まれ、4chan掲示板に流出したことをタイムズが確認した。 VX-Undergroundが最初に見たように、内部データは、盗まれたデータを含...