npm

News

悪意のあるnpmパッケージがイーサリアム開発者の秘密鍵を狙う

イーサリアム開発者が使用するHardhat開発環境になりすました20の悪意のあるパッケージが、秘密鍵やその他の機密データを標的にしている。 研究者によると、これらの悪意のあるパッケージは合わせて1,000以上のダウンロードを記録している。 ...
News

盗まれた NPM トークンを使用して公開された悪意のある Rspack、Vant パッケージ

rspack/core、@rspack/cli、Vantの3つの人気npmパッケージが、盗まれたnpmアカウントトークンによって侵害され、脅威者はクリプトマイナーをインストールした悪意のあるバージョンを公開することができました。 Sonat...
News

悪意のあるマイクロソフトのVSCode拡張機能、開発者や暗号コミュニティを標的に

VSCodeマーケットプレイスで、難読化されたPowerShellペイロードをダウンロードし、開発者や暗号通貨プロジェクトを標的としたサプライチェーン攻撃を行う悪質なVisual Studio Code拡張機能が発見された。 Reversi...
News

ハッカーによるサプライチェーン攻撃で39万件のWordPressアカウントが盗まれる

MUT-1244として追跡されている脅威行為者は、トロイの木馬化されたWordPress資格情報チェッカーを使用して、他の脅威行為者を標的とした大規模な1年間のキャンペーンで、39万以上のWordPress資格情報を盗み出しました。 この攻...
News

LottieFiles、ユーザーの暗号を盗むサプライチェーン攻撃でハッキングされる

人気のLottieFiles Lotti-Playerプロジェクトが、訪問者の暗号通貨を盗む暗号ドレイナーをウェブサイトに注入するサプライチェーン攻撃で侵害されました。 ブロックチェーン脅威監視プラットフォームScam Snifferによる...
news

GitHub、悪意のあるプロジェクトで開発者を狙うLazarusハッカーについて警告

GitHubは、ブロックチェーン、仮想通貨、オンラインギャンブル、サイバーセキュリティ分野の開発者のアカウントをターゲットにして、デバイスをマルウェアに感染させるソーシャルエンジニアリングキャンペーンについて警告している。 このキャンペーン...
news

新しい Python ツールは、マニフェストの混乱の問題について NPM パッケージをチェックします

セキュリティ研究者とシステム管理者は、NPM JavaScript ソフトウェア レジストリのパッケージ内のマニフェストの不一致をユーザーがチェックできるようにするツールを開発しました。 先週、GitHub と NPM の元エンジニアリング...
news

「Manifest Confusion」攻撃の危険にさらされる NPM エコシステム

NPM (Node Package Manager) レジストリには、「マニフェスト混乱」と呼ばれるセキュリティ上の欠陥があり、パッケージの信頼性が損なわれ、攻撃者が依存関係にマルウェアを隠したり、インストール中に悪意のあるスクリプトを実行...
news

NodeJS を模倣する TurkoRAT バイナリを提供する npm パッケージが捕捉されました

研究者らは、NodeJS ライブラリにちなんで名付けられた複数の npm パッケージを発見しました。これらのパッケージには、NodeJS に似た Windows 実行可能ファイルもパックされていますが、代わりに悪意のあるトロイの木馬をドロッ...
news

npm パッケージは、NodeJS EXE のように見えるものの中に TurkoRAT マルウェアを隠します

研究者らは、NodeJS ライブラリにちなんで名付けられた複数の npm パッケージを発見しました。これらのパッケージには、NodeJS に似た Windows 実行可能ファイルもパックされていますが、代わりに悪意のあるトロイの木馬をドロッ...