限界くらげ

1.7K posts

限界くらげ

@fclixf

/dev/null

Katılım Nisan 2023

125 Takip Edilen50 Takipçiler

限界くらげ@fclixf·6h

眼圧上がって視野が遠のく感じもするよねん

くまめいぷる@kumapmaple

「子供の時、頭の血管がプチっと切れてその後ジワ～って血が広がっていく事、よくあったよな」って友達に話したら「し知らない・・・」って言われた。よく無いんだ

日本語

1.1K

限界くらげ@fclixf·1d

JAVA_script

English

限界くらげ retweetledi

ActiveTK․@ActiveTK5929·1d

「DoS攻撃8000回」← なにこれ

Yahoo!ニュース@YahooNewsTopics

【ライバル企業にDoS攻撃疑い逮捕】 news.yahoo.co.jp/pickup/6575446

日本語

372

7.1K

2.1M

限界くらげ@fclixf·1d

WordPress嫌いな理由どう考えたってセキュリティで、プラグインやテーマの脆弱性情報を逐一ウォッチ出来てゼロデイに対応出来る体制と技術力の組織がどれだけあるのか、そのコストとリスクを取ってまでWordPressを選ぶ必要性は？ってなるから

日本語

限界くらげ retweetledi

strnh@strnh·1d

ステージングのセキュリティは本番より固くしろと教えろ/習うべき

いもいもくん@ma_anago

news.nicovideo.jp/watch/nw191277… テスト環境が不正アクセスを受け、保管していた顧客情報等の一部（のべ2万7745件）が外部へ流出←テスト環境にガチの顧客データ入ってたらテスト環境じゃないじゃん。。さらっとめちゃヤバい事言ってる、、

日本語

364

69.4K

限界くらげ@fclixf·1d

@okatan_podcast (めっちゃ気になります…)

日本語

マサ（仮）奇譚@okatan_podcast·1d

ビジネス番組だからリスナーには気づかれないだろう(´･ω･ `)たぶんよそいきの声でやるか…

日本語

203

限界くらげ@fclixf·2d

！！！！

森永製菓アイス公式（ティック）@MorinagaIce

期間限定🌸 ザ・クレープ＜チョコ＆バニラ＞ホイップ２倍再発売♪ ザ・クレープファンのみなさーんお待たせしました✨ ビスケットクランチ、なめらかアイス、ザクザクチョコもちもちクレープのおいしさはそのままに最後のごほうび「幸せホイップ」が今だけ２倍です✌ ぜひお楽しみくださいね☺️

QST

限界くらげ@fclixf·2d

これはとても良い問い

Captain-EO 👨🏾‍💻@EOEboh

You have a user session that needs to persist across devices. Pick one: A) JWT stored in localStorage B) JWT stored in httpOnly cookie C) Session ID stored in httpOnly cookie D) JWT stored in sessionStorage Defend your answer

日本語

限界くらげ@fclixf·3d

ヤバみ

NewsWire@NewsWire_US

Trump: "Open the F*ckin’ Strait, you crazy b*stards, or you’ll be living in Hell - JUST WATCH! Praise be to Allah."

日本語

限界くらげ@fclixf·3d

意外と弾けるわ

日本語

限界くらげ@fclixf·3d

このGadd9鬼か

日本語

限界くらげ retweetledi

Mikuni@Yulabsinthe0·4d

Twitter見てると、赤ちゃんが産まれてみんなに祝福されていて、誰かが癌と戦っていてみんながそれに祈っていて、何気ない日常や愉快なネタがシェアされていて、花が飾られていて、猫が愛されていて、大きなお肉が完璧にグリルされていて、大量の本に対して本棚が足りていなくて、世界っていいな。

日本語

107

7.3K

67.6K

1.3M

限界くらげ retweetledi

Kaz™︎@Kazneedscaffein·3d

何度もお伝えしますが、朝の珈琲は一杯飲むより、いっぱい床にこぼした方が目が覚めます。間違いないです。

日本語

173

8.2K

89.7K

2.2M

限界くらげ@fclixf·3d

どれだけ疲れていても風呂キャンだけはしないコダック

日本語

限界くらげ@fclixf·3d

何か良いニュースはないですか？

日本語

限界くらげ@fclixf·4d

👀

ライブドアニュース@livedoornews

【説明】政府が「節電」呼びかけ検討かイラン情勢でエネルギー供給不足が懸念 news.livedoor.com/article/detail… 原油などの国内供給について「備蓄の放出や代替調達を通じて、必要な量は確保できている」とする一方、イラン情勢の長期化に備えて国民への節電・節約の呼びかけを含め検討を進めている。

ART

限界くらげ@fclixf·4d

ドラマすぎる…

yousukezan@yousukezan

こういうことだったのか北朝鮮系とみられる情報工作グループが、JavaScriptライブラリ「Axios」のメンテナを標的とした高度なソーシャルエンジニアリング攻撃を実行し、結果としてソフトウェア供給網に影響を及ぼす事案が発生した。当該グループ（UNC1069）は、Axios自体の脆弱性を直接突いたのではなく、メンテナ個人への接触を通じて侵入を図ったとされる。被害者の証言によれば、攻撃者は実在する企業の創業者になりすまして接触し、その企業自体も模倣した体裁を整えていたという。その後、被害者はSlackのワークスペースに招待された。この環境は企業のブランドに沿って構築されており、LinkedIn投稿を共有するチャンネルなども用意されていた。これらの投稿は、実在企業のアカウントに由来するものが流用されていた可能性がある。また、企業チームや他のオープンソースメンテナを装った、偽とみられるプロフィールも確認されたとされる。さらに攻撃者はMicrosoft Teamsでの会議を設定した。会議には複数人が関与しているように見え、組織的な体裁が整えられていたという。会議中、被害者のシステムに対して「更新が必要」とするメッセージが表示され、これを受けてソフトウェアのインストールが行われた。このプログラムは後に、リモートアクセス型トロイの木馬（RAT）であったことが判明している。この侵害により、攻撃者は開発者の端末からnpmの認証情報や公開権限などを取得したとみられる。Axiosは週あたり約1億回のダウンロード数を有しており、その配布経路が悪用された。報告によれば、攻撃者は日曜日（UTC 12:21）に悪意のある2つのバージョンを公開し、約39分以内に最新およびレガシーの両ブランチにタグ付けを行った。また、悪意ある依存関係については、約18時間前に無害なバージョンとして事前に公開され、レジストリ上の履歴を構築していたとみられる。さらに、macOS、Windows、Linux向けにそれぞれ異なるRATペイロードが用意されており、実行後に自己削除する仕組みが組み込まれていた。問題のバージョンは、npmにより削除されるまで約3時間公開されていた。この間、セキュリティ企業Huntressは、複数のOSにまたがる135のエンドポイントが攻撃者のC2サーバーへ接続したことを観測したと報告している。また、Wizの分析では、調査対象環境の約3％で当該バージョンが検出された。影響を受けたシステムでは、npmトークン、AWSキー、SSHキー、CI/CD関連のシークレット、ならびに.envファイル内の情報を含む、すべての認証情報の更新が必要とされている。なお、本件は単独の事例ではない可能性がある。同様の攻撃手法を用いたとみられる事案として、Axiosの約2週間前にはTrivy、KICS、LiteLLM、複数のGitHub Actionsに対する侵害も報告されている。Googleは、これら一連の攻撃により数十万件規模のシークレットが流出した可能性があると推定している。被害に遭ったメンテナは、多要素認証（2FA/MFA）を広範に有効化していたと述べているが、トークンがどのようにして侵害されたのか、詳細な経路は現時点で明らかになっていない。今回の事案は、個人メンテナへの標的型攻撃が、ソフトウェア供給網全体に波及し得るリスクを改めて示すものとなった。オープンソースエコシステムにおける信頼構造そのものが、攻撃の足がかりとして利用される可能性が指摘されている。

日本語