News 新たなConsentFix攻撃、Azure CLI経由でMicrosoftアカウントを乗っ取る
ConsentFix」と名付けられたClickFix攻撃の新たなバリエーションが、Azure CLI OAuthアプリを悪用して、パスワード不要でMicrosoftアカウントを乗っ取ったり、多要素認証(MFA)の検証をバイパスしたりする。 ...
Token
News 
News Shai-Hulud 2.0 NPM malware attack exposed up to 400,000 dev secrets
The second Shai-Hulud attack last week exposed around 400,000 raw secrets after infecting hundreds of packages in the NP...
News Glassworm malware returns in third wave of malicious VS Code packages
The Glassworm campaign, which first emerged on the OpenVSX and Microsoft Visual Studio marketplaces in October, is now i...
News Public GitLab repositories exposed more than 17,000 secrets
After scanning all 5.6 million public repositories on GitLab Cloud, a security engineer discovered more than 17,000 expo...
News Attackers Now Bypass App-Based MFA, Hardware Biometrics Stop Them
The rise of the Tycoon 2FA phishing kit should serve as a global warning siren for every enterprise. This is not a tool ...
News Open VSX rotates access tokens used in supply-chain malware attack
The Open VSX registry rotated access tokens after they were accidentally leaked by developers in public repositories and...
News PhantomRaven attack floods npm with credential-stealing packages
An active campaign named ‘PhantomRaven’ is targeting developers with dozens of malicious npm packages that steal authent...
News PyPI、GhostActionのサプライチェーン攻撃で盗まれたトークンを無効化
Python Software Foundationチームは、9月初旬に発生したGhostActionサプライチェーン攻撃で盗まれたすべてのPyPIトークンを無効化し、脅威行為者がマルウェアを公開するためにトークンを悪用しなかったことを確認...
News ハッカー、GhostAction GitHubサプライチェーン攻撃で3,325件の機密情報を盗む
GhostAction」と名付けられたGitHubへの新たなサプライチェーン攻撃により、PyPI、npm、DockerHub、GitHubトークン、Cloudflare、AWSキーなど3,325の秘密が漏洩した。 この攻撃はGitGuard...
News Max severity Argo CD API flaw leaks repository credentials
An Argo CD vulnerability allows API tokens with even low project-level get permissions to access API endpoints and retri...