Alphe

GitHubが内部リポジトリ侵害を調査していることが判明した。TeamPCPは約4000件の非公開コードへアクセスしたと主張しており、GitHub内部ソースコードや組織情報を5万ドル以上で販売すると掲示板で宣伝している。 GitHubは「内部リポジトリへの不正アクセスを調査中」と認めたが、現時点では顧客組織や公開外リポジトリなど、外部顧客データへの影響は確認されていないとしている。影響が判明した場合は対象顧客へ通知すると説明した。 攻撃を主張したTeamPCPは、Breachedフォーラム上で「GitHubのソースコードと内部組織情報を保有している」と投稿し、約4000件の非公開リポジトリを保持していると主張した。ランサムではなく販売目的だと説明し、購入者が現れなければ無償公開も示唆している。 TeamPCPは近年、GitHub、PyPI、npm、Dockerなど開発者向け基盤を狙うサプライチェーン攻撃で知られる。3月にはAqua SecurityのTrivy侵害にも関与し、Checkmarx KICSやLiteLLMへ連鎖被害を引き起こしたとされる。 さらにOpenAI従業員端末へ影響した「Mini Shai-Hulud」キャンペーンや、Mistral AIのCI/CD認証情報窃取にも関連付けられており、オープンソース供給網全体への脅威として警戒が強まっている。 bleepingcomputer.com/news/security/…

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories. Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version, isolated the endpoint, and began incident response immediately.

【要対応】GitHub 社に対する侵害が、社員のデバイス内の VSCode Extension 経由で発生し、内部 ~3,800 レポに流出可能性ありとんこと。我々も、まず優先して①拡張機能の最小化＆自動更新無効化、②念のためシークレットのローテ、に取り組んだほうがよさそうです。

[Slides/資料公開] 本日のBSides Tokyo 2026での講演資料です。 TLPT2.0の提案 －「敵を知る」と「自分を知る」の分離 (A Proposal for TLPT 2.0: Decoupling "Knowing the Enemy" from "Knowing Yourself") bit.ly/4uS3XbJ #BSidesTokyo #TLPT #レッドチーム #RedTeam

🏆Anthropicのバグバウンティで1位🏆 セキュリティリサーチャーのRyotaK @ryotkak が、「Anthropic バグバウンティプログラム」において1位を記録しました。 詳しくはプレスリリースをご覧ください。 prtimes.jp/main/html/rd/p…

今回漏洩した GitHub PAT を revoke すると rm -rf ~/ するスクリプトなども同時にプラントされており (!!)、感染時の初動対応には注意が必要です。これ続くとしんどいですね……。（一度こういうのがあると、今後の revoke がためらわれる。）

本日 5/12 (火) 早朝に発生した、TanStack Router 等の著名 npm パッケージへの侵害（Mini Shai-Hulud 第二波）に関し、概要と対応指針を整理しました。 今回は、第一波に比して影響範囲が大変広い他、余波がまだ続いております。ご注意ください。記事は随時更新いたします。 blog.flatt.tech/entry/mini_sha…

Linuxカーネルに、わずか数百バイトのスクリプトで管理者権限を奪取できる重大欠陥が発覚した。Copy Failと呼ばれるこの脆弱性は広範な環境に影響し、検知も困難なため極めて深刻なリスクとなっている。 問題はCVE-2026-31431として報告され、暗号サブシステムのauthencesn処理におけるロジック不備が原因である。非特権ユーザーでも任意の読み取り可能ファイルのページキャッシュに対し、制御可能な4バイト書き込みを行える点が本質だ。攻撃者はsetuidバイナリを書き換えることで即座にroot権限を取得できる。さらにページキャッシュはシステム全体で共有されるため、コンテナ環境をまたいだ侵害も可能となる。ディスク上のファイル自体は変更されず、メモリ上のみ改変されるため、従来の整合性チェックでは異常を検知できない。原因はalgif_aeadにおけるin-place処理で、入力と出力の分離が行われていなかった点にある。修正ではout-of-place方式へ戻すことで問題を解消した。公開済みのPoCにより悪用リスクが高まっており、カーネル更新やAF_ALG機能の制限が急務とされる。 securityonline.info/linux-kernel-c…

昨日発生したBitwardenのnpmパッケージに対するマルウェア混入（ソフトウェアサプライチェーン攻撃）に関して、その概要と対応指針を整理しました。 パスワードマネージャに関連するパッケージ侵害であり、注意が必要です。確認の上、皆様の対応にお役立てください。 blog.flatt.tech/entry/bitwarde…

🎉4/27(月) 学生向けオンライン説明会 ゲスト決定！🎉 2025年度サマーインターンシップ参加者として、新月 @fubukiyokiyoki さんがゲスト参加します！ パネルディスカッションで、Flattのエンジニアと共に皆様からいただいたご質問に回答します。 ぜひお申し込みください！ flatt.connpass.com/event/389533/

Tシャツ当たりました✌️

RubyKaigi参加してます！！ Drink upも楽しみ！ #rubykaigi #rubykaigi2026

▼動画投稿しました！ セキュリティ・キャンプに応募しよう！応募対策講座 #seccamp youtu.be/If2KUtpsISI

#SecHack365 の2026年度開催概要と募集要項を公開しました‼️応募条件やイベントスケジュールは大事なので必ずチェックお願いします。コース概要については追って公開予定です。申込開始は4月21日（火）14時なので、ココロの準備お願いします☺️ sechack365.nict.go.jp/document/

【動画更新】 今回はGMO Flatt Security(@flatt_security )に潜入し、世界トップレベルのセキュリティエンジニアの生態を調査してきました。 是非ご覧ください。 youtu.be/aNrxPqfBQOo?si…

下記の記事を執筆しました。こちらも良かったら是非！🙏 「サプライチェーン攻撃に立ち向かうために、DIVER OSINT CTFが実施したNつのこと」｜xryuseix zenn.dev/xryuseix/artic… #zenn

🎬 Ultra Thinking #12 公開 🧠 今回はaxios侵害が起こった、激動の1週間についてエンジニア目線で振り返りました。 ✅ axios侵害の起点とコミュニティ対応の舞台裏 ✅ postinstall スクリプトの利便性とのジレンマ 🔗本編URLはスレッドのリンクから 👇

セキュリティエンジニア村上の技術ブログを公開しました！ OWASP Top 10や、弊社のWeb脆弱性診断における検出数順で最上位になっている「認可制御不備」。 開発者のセルフレビューでの検出を目指し、セキュリティエンジニア目線で怪しいと感じる10パターンをまとめました！ blog.flatt.tech/entry/authz_as…

15歳以下の方を対象にした「セキュリティ・キャンプ2026ジュニア」も同日に開催します。ぜひご参加ください！次の全国大会へのステップにもなります🚀 紹介動画：youtu.be/-cl40LVdPp8?si… 詳細：ipa.go.jp/jinzai/securit… #seccamp #セキュキャン #セキュリティキャンプ

📢「セキュリティ・キャンプ2026 全国大会／ネクスト／ジュニア」エントリー受付開始！ 2026年8月10日〜15日、東京近郊（予定）で開催！エントリー締切は【5月11日】まで！ ipa.go.jp/jinzai/securit… #seccamp #セキュリティキャンプ