News 週間100万ダウンロードのNPMパッケージからマルウェアが発見される
6/8/25更新:新情報により記事が更新されました。 100万ダウンロードを超える人気のGluestack「@react-native-aria」パッケージ17個が、リモート・アクセス・トロイの木馬(RAT)として動作する悪意のあるコードを...
Packages
News 
News 悪意のあるNPMパッケージがUnicodeステガノグラフィーを使って検知を逃れる
Node Package Managerのインデックスにある悪意のあるパッケージは、目に見えないUnicode文字を使って悪意のあるコードを隠し、Google Calendarのリンクを使ってコマンド・アンド・コントロールの場所のURLをホ...
News Malicious PyPI packages abuse Gmail, websockets to hijack systems
Seven malicious PyPi packages were found using Gmail's SMTP servers and WebSockets for data exfiltration and remote comm...
News AIが解明するコードの依存関係が新たなサプライチェーンリスクに
slopsquatting(スロップスクワッティング)」と名付けられたサプライチェーン攻撃の新しいクラスが、コーディングのためのジェネレーティブAIツールの使用の増加と、存在しないパッケージ名を「幻覚」するモデルの傾向から出現した。 スロッ...
News Carding tool abusing WooCommerce API downloaded 34K times on PyPI
A newly discovered malicious PyPi package named 'disgrasya' that abuses legitimate WooCommerce stores for validating sto...
News Infostealer campaign compromises 10 npm packages, targets devs
Ten npm packages were suddenly updated with malicious code yesterday to steal environment variables and other sensitive ...
News New npm attack poisons local packages with backdoors
Two malicious packages were discovered on npm (Node package manager) that covertly patch legitimate, locally installed p...
News 北朝鮮のLazarusハッカー、npmパッケージ経由で数百人を感染させる
悪名高い北朝鮮のハッキング・グループLazarusに関連する6つの悪意のあるパッケージがnpm(Nodeパッケージ・マネージャー)上で確認された。 330回ダウンロードされたこれらのパッケージは、アカウント認証情報を盗み出し、侵害されたシス...
News PyPI上のイーサリアム秘密鍵ステラーが1,000回以上ダウンロードされる
set-utils" という悪意のあるPython Package Index (PyPI) パッケージが、ウォレット作成関数を傍受してイーサリアムの秘密鍵を盗み出し、Polygonブロックチェーン経由で流出している。 このパッケージはPy...
News 10万インストールされたPyPiパッケージがDeezerの海賊版音楽を数年間にわたり配信
2019年以降、「automslc」という悪意のあるPyPiパッケージがPython Package Indexから10万回以上ダウンロードされており、ハードコードされた認証情報を悪用して、ストリーミングサービス「Deezer」の音楽を海賊...