Alphe retweeté
本日発生したaxiosのnpmパッケージに対するマルウェア混入(ソフトウェアサプライチェーン攻撃)に関して、その概要と対応指針を整理しました。
間接的な依存も多く、広い範囲に影響が出ています。確認の上、皆様の対応にお役立てください。
blog.flatt.tech/entry/axios_co…
日本語
Alphe
398 posts
Alphe
@Alphe_
セキュリティに興味のある社会人1年目です 顔と名前覚えるの苦手なので、出会ったら声かけてもらえると嬉しいです! SecHack365'24/Seccamp'24 サブ垢: @Alphe_sub
Inscrit le Ocak 2023
675 Abonnements666 Abonnés
Alphe retweeté
【注意】axios 1.14.1 + 0.30.4 としてマルウェアが公開されています。公開は 9:21 頃で、Takumi Guard でも 11:31 から観測&ブロックを開始しています。一部ユーザーがダウンロードしてしまっているのも確認しています。何卒ご自衛&ご確認を🙇
※ 諸都合で初報飛びすぎました、すみません……
日本語
Alphe retweeté
【ソフトウェアサプライチェーン・やるべきことスレ】おすすめの文献・設定があれば、メンションでぶら下げてくれませんか。リンクペタっとでOKです。
僕も axios の件のガイダンス&対応を終えたら参加します&まとまったガイド文書を出そうと思います。
Trivy事案、LiteLLM事案も含め、ソフトウェア業界全体が不安定なタイミングです。何卒!
日本語
Alphe retweeté
本日開催のウェビナー「GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える」におけるCTO米内 @lmt_swallow のスライドと動画を公開しました。
speakerdeck.com/flatt_security…
日本語
Alphe retweeté
n月刊ラムダノートに「不変性から導くパッケージ管理とNix」を寄稿しました!
宣言的で再現性が高い関数型パッケージマネージャーと紹介されることの多いNixですが、関数型と言われてもピンとこない方も多いと思います
本稿では、データの不変性に着目してその関数型たる所以について解説しています
lambdanote@lambdanote
新刊『n月刊ラムダノート』Vol.6 No.2(2026)を発売しました! #1 WebSocketとそのセキュリティ #2 不変性から導くパッケージ管理とNix」 #3 現代の技術者から見たチューリングマシン lambdanote.com/blogs/news/n-v…
日本語
Alphe retweeté
【注意/続報】Trivy/LiteLLM 侵害と同じアクターによる、telnyx の PyPI パッケージ侵害(対象 4.87.1 / 4.87.2)を調査しました。Python 検体から影響範囲が読みきれず、C2からドロップされてくる検体は未確認のため、感染時の影響範囲が見通しにくいです・・・。
diary.shift-js.info/telnyx-comprom…
日本語
Alphe retweeté
⚾️打席に立つ若手エンジニア × 執行役員 @toyojuni 座談会記事公開!
カンファレンス登壇やCTF運営に挑戦する新卒1年目の @ryusei_ishika と @ryotaromosao にインタビュー🎤
「技術発信した人にしか見えない景色がある」と話す2人の原動力に迫りました。
#28卒
note.com/flatt_security…
日本語
Alphe retweeté
n月刊ラムダノートに『WebSocketとそのセキュリティ』というタイトルで記事を寄稿させて頂きました🙌
表面的な挙動の解説だけでなく、Wiresharkを用いたパケット内部の観察や各認証方式、セキュリティ上の注意点まで詳しくまとめた内容となっています。
ぜひ読んでみてください!!
lambdanote@lambdanote
新刊『n月刊ラムダノート』Vol.6 No.2(2026)を発売しました! #1 WebSocketとそのセキュリティ #2 不変性から導くパッケージ管理とNix」 #3 現代の技術者から見たチューリングマシン lambdanote.com/blogs/news/n-v…
日本語
こちらの書籍もおすすめです!!
『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』
lambdanote.com/collections/wb…
日本語
Alphe retweeté
🎬Ultra Thinking 祝・#10🌸
Dependabotの自動マージ、本当に安全?
CI/CDで任意コード実行されるパターンが想像以上に多い話をしました。
☑️ GitHub Actionsの自動マージ設定のバイパス
☑️ .yarnrcやESLint設定から任意コード実行
本編はスレッドから👇
日本語
Alphe retweeté
Alphe retweeté
LiteLLM マルウェアの件、挙動の初動調査をしました&対応指針大まかに記述しました。
・1.82.7 がシビアそう。
・1.82.8 はバグっていそう。攻撃の完遂は難しそう。
diary.shift-js.info/litellm-compro…
日本語
Alphe retweeté
【注意】LLM関わるソフトウェアあちこちで利用される Pythonパッケージ「LiteLLM」、SSHキーやクラウドクレデンシャルをぶっこ抜くマルウェア(infostealer)が仕込まれているバージョンが数時間公開されていました。今のところ1.82.7、1.82.8が影響範囲です。ご確認を🙇
github.com/BerriAI/litell…
日本語
Alphe retweeté
【続き】Trivy の件に続いて発生した TeamPCP の CanisterWorm(npm マルウェア)、Flatt でもリサーチしていて、Takumi Guard で対応済です。ちょっとでも Blast radius 小さくしたいので、是非この手の自衛や、minimumReleaseAge 系の自衛をされてください🙇
YONEUCHI, Takashi@lmt_swallow
【要注意】Trivy 配布の GitHub Action への侵害がこの木曜〜金曜にかけてありました。自分にも影響がありえた&少し影響範囲が広かった為、日本語で個人的にまとめています。ユーザーのみなさま、自組織の状況をご確認ください:diary.shift-js.info/trivy-compromi…
日本語
Alphe retweeté
Alphe retweeté
セキュリティリサーチャーRyotaK @ryotkak のブログを公開しました!
Google Cloudのバグバウンティにおいて、Lookerのディレクトリ削除機能のレースコンディションを悪用し、RCEおよびk8sの権限昇格に繋げました。
詳細はブログ記事(英語)をご覧ください!
flatt.tech/research/posts…
日本語