hamayanhamayan

2.1K posts

hamayanhamayan

@hamayanhamayan

Webセキュリティ愛好家

Joined Haziran 2017

626 Following1.9K Followers

hamayanhamayan retweeted

YONEUCHI, Takashi@lmt_swallow·3d

【ソフトウェアサプライチェーン・やるべきことスレ】おすすめの文献・設定があれば、メンションでぶら下げてくれませんか。リンクペタっとでOKです。僕も axios の件のガイダンス＆対応を終えたら参加します＆まとまったガイド文書を出そうと思います。 Trivy事案、LiteLLM事案も含め、ソフトウェア業界全体が不安定なタイミングです。何卒！

日本語

175

27.3K

hamayanhamayan retweeted

YONEUCHI, Takashi@lmt_swallow·6d

【注意/TeamPCP】Trivy/LiteLLM 侵害と同じアクターによる、telnyx の PyPI パッケージ侵害が確認されています。対象 4.87.1 / 4.87.2 です。公開数時間でテイクダウンされていて、Takumi Guard ユーザーには公開後３日の検疫期間内なので侵害影響ありません。利用されてない方、影響調査ください。

Rami McCarthy@ramimacisabird

😼New TeamPCP: PyPI package "telnyx" versions 4.87.1 and 4.87.2 contain malware. These versions were uploaded directly to PyPI (no matching GitHub tags/releases). Downgrade to 4.87.0 or earlier immediately. Windows payload appears broken in 4.87.1.

日本語

115

21.9K

hamayanhamayan retweeted

YONEUCHI, Takashi@lmt_swallow·24 Mar

【続き】Trivy の件に続いて発生した TeamPCP の CanisterWorm（npm マルウェア）、Flatt でもリサーチしていて、Takumi Guard で対応済です。ちょっとでも Blast radius 小さくしたいので、是非この手の自衛や、minimumReleaseAge 系の自衛をされてください🙇

YONEUCHI, Takashi@lmt_swallow

【要注意】Trivy 配布の GitHub Action への侵害がこの木曜〜金曜にかけてありました。自分にも影響がありえた＆少し影響範囲が広かった為、日本語で個人的にまとめています。ユーザーのみなさま、自組織の状況をご確認ください：diary.shift-js.info/trivy-compromi…

日本語

18.2K

hamayanhamayan retweeted

GMO Flatt Security株式会社@flatt_security·25 Mar

マルウェアパッケージのインストールをブロックする、Takumiの「Guard」機能がPyPIに対応しました。【簡単】1行のコマンドで設定(画像参照) 【推奨】メールアドレス登録 → ブロックをすり抜けたパッケージに関して、事後的に通知を受信可能 ▼メールアドレス登録はこちら flatt.tech/takumi/feature…

日本語

37.4K

hamayanhamayan@hamayanhamayan·24 Mar

自分がここ一年読んだ中で最も好きなWriteupです。感動を共有したい。

GMO Flatt Security株式会社@flatt_security

セキュリティリサーチャーRyotaK @ryotkak のブログを公開しました！ Google Cloudのバグバウンティにおいて、Lookerのディレクトリ削除機能のレースコンディションを悪用し、RCEおよびk8sの権限昇格に繋げました。詳細はブログ記事(英語)をご覧ください！ flatt.tech/research/posts…

日本語

2.6K

hamayanhamayan retweeted

YONEUCHI, Takashi@lmt_swallow·20 Mar

日本語

214

477

70.8K

hamayanhamayan@hamayanhamayan·15 Mar

blog.hamayanhamayan.com/entry/2026/03/… tkbctf5 Writeups 面白かったです！今年初めてCTFに出てブログ書いたけど、半分解説、半分ポエムになってしまった。

日本語

1.3K

hamayanhamayan retweeted

GMO Flatt Security株式会社@flatt_security·9 Mar

🌻サマーインターンシップ募集開始昨年190名超の応募があった大人気プログラム🔥 世界の最先端を行くAI駆動のセキュリティの現場で課題に向き合い、自ら手を動かして脆弱性の発見・検証およびその自動化の開発に取り組む5日間です。報酬は10万円。交通費・宿泊費全額補助。ぜひご参加ください！

日本語

24.7K

hamayanhamayan retweeted

GMO Flatt Security株式会社@flatt_security·10 Mar

セキュリティエンジニア松井 @ryotaromosao とChungの技術ブログを公開しました！ SDKに存在する脆弱性や、アプリケーション開発者のミスにより引き起こされる、署名付きURLにおけるパストラバーサルのリスクと対策について解説しています。ぜひご覧ください！ blog.flatt.tech/entry/signed_u…

日本語

4.6K

hamayanhamayan@hamayanhamayan·10 Mar

眠れなくて久々に無茶苦茶X見た。自分のCTF×AI観は社内slackに一月前くらいに書いたので、入社したら読めます。

日本語

753

hamayanhamayan@hamayanhamayan·7 Mar

大谷やばすぎ

日本語

354

hamayanhamayan retweeted

YONEUCHI, Takashi@lmt_swallow·3 Mar

近況ですが、マルウェアブロックしてくれる npm レジストリ君（Takumi Guard）をリリースしました。無料で使えます☺️ 昨年は Shai-Hulud 含め悪性パッケージの波が悲しかったし、今年はこういうこと減らしたいので、一念発起しました。npm config コマンド一つで使えます。

日本語

198

602

107.2K

hamayanhamayan retweeted

st98@st98_·2 Mar

SECCON CTF 14国内決勝大会の参加記(writeup) - st98 の日記帳 - コピー nanimokangaeteinai.hateblo.jp/entry/2026/03/… 書きました! 最近のCTFについて自分の気持ちを言語化したかったのもあり、LLMが大暴れしていたことについての感想も書いています #SECCON

日本語

8.3K

hamayanhamayan retweeted

GMO Flatt Security株式会社@flatt_security·28 Oca

セキュリティエンジニア森 @ei01241 の技術ブログを公開しました！パストラバーサルと言えばサーバーサイドの脆弱性と認識されることが多い一方、本記事ではSPAにおける「クライアントサイドパストラバーサル」にフォーカスしてそのリスクと対策について解説しています。 blog.flatt.tech/entry/client_s…

日本語

3.6K

hamayanhamayan retweeted