Package Manager

news

PyPI 上の偽の VMware vConnector パッケージは IT プロフェッショナルをターゲットにしています

VMware vSphere コネクタ モジュール「vConnector」を模倣した悪意のあるパッケージが、IT プロフェッショナルをターゲットに「VMConnect」という名前で Python Package Index (PyPI) に...
news

新しい Python ツールは、マニフェストの混乱の問題について NPM パッケージをチェックします

セキュリティ研究者とシステム管理者は、NPM JavaScript ソフトウェア レジストリのパッケージ内のマニフェストの不一致をユーザーがチェックできるようにするツールを開発しました。 先週、GitHub と NPM の元エンジニアリング...
news

「Manifest Confusion」攻撃の危険にさらされる NPM エコシステム

NPM (Node Package Manager) レジストリには、「マニフェスト混乱」と呼ばれるセキュリティ上の欠陥があり、パッケージの信頼性が損なわれ、攻撃者が依存関係にマルウェアを隠したり、インストール中に悪意のあるスクリプトを実行...
news

期限切れの SSL 証明書が原因で Microsoft WinGet パッケージ マネージャーが失敗する

Microsoft の WinGet パッケージ マネージャーでは、WinGet CDN の SSL/TLS 証明書の有効期限が切れた後、パッケージのインストールまたはアップグレードで現在問題が発生しています。 観察されたように、開発者は現...
news

新しい npm タイミング攻撃は、サプライ チェーン攻撃につながる可能性があります

セキュリティ研究者は、プライベート パッケージの名前を明らかにする npm タイミング攻撃を発見しました。これにより、攻撃者は悪意のあるクローンを公開して、開発者をだまして代わりに使用させることができます。 この攻撃は、リポジトリに存在しな...