JuNya / ゆるふわvlogger

6年ぶり(5年ぶり？)に来日した #KNOWER のライブに行ってきました、というブログです。何卒！！！ はてなブログに投稿しました KNOWERライブ行ってきた 2024年度版 - じゅにゃくんのはてブロ。 jun-ya.hatenablog.com/entry/2024/03/… #はてなブログ

npmエコシステムで正規パッケージが次々と乗っ取られる新型攻撃「CanisterWorm」が確認された。開発者が依存関係をインストールするだけで感染し、認証トークンを奪って別のパッケージへと連鎖的に拡散する“ワーム型サプライチェーン攻撃”が現実化している。 JFrogによると攻撃グループ「TeamPCP」はnpmの公開トークンやCI/CD認証情報を窃取し、@emilgroupなど既存の信頼済みパッケージを改ざん。不正コードはpostinstallフックとして仕込まれ、npm install時に自動実行される。感染後はPython製バックドアを展開し、Linuxではpgmonというsystemdユーザーサービスを作成して永続化する。さらに.npmrcや環境変数から認証トークンを収集し、npm APIを通じて公開権限のある全パッケージを列挙、悪性コードを注入して再公開することで爆発的に拡散する。C2にはICPのcanisterを利用し、外部から柔軟にペイロードを差し替える仕組みも備える。影響範囲は複数組織のSDKに広がっており、トークンのローテーションや不正バージョンの削除など緊急対応が求められる。 gbhackers.com/canisterworm-h…

これに関連する話題として、GitHubがUUIDv4の衝突を念の為検知する仕組みを入れていたところ実際に衝突が発生したので、偶発的な事象として処理せずに深堀りしたところ、OpenSSLの脆弱性発見に繋がったという最高に面白い話があるのですが、信頼できるソースが見つからないので紹介できない

UUIDv4の衝突が話題（定期）ですが、UUIDv4ライブラリ実装がいけてない（CSPRNGを使っていない等）場合や、CSPRNG実装に脆弱性が見つかることが時々あるということは考慮しておいた方がよいと思います。

vim(neovim)の操作を必死に覚えているところだけど、出てきた単語で超かっこいいのがあった。ブラックホールレジスタ。めちゃかっこいい。

勢い任せでアプリが作れる良い時代になったとともに、下調べ(しなければならない、してはならない)が抜け落ちてしまってるのはとても残念に思えます。 アプリを公開するときは広い視座で確認をしたほうが良さそうっすね。 って何かを見たから書いてみた。

この現象が起きはじめるとなかなか治まらない。切り替えたい入力ソースになってくれない。このときはシフトキーをキーコンビネーションに加えると切り替わってくれる。 他のキーボードでは発生しない(と思う)ので、Lofree Lite 84とTahoeの相性が悪いのかもしれない。

macOS Tahoe+Lofree Lite 84環境で入力ソースの切り替えをコマンド+スペースに変更しているという特殊な環境が原因だと思うんだけど。 コマンド+スペースで入力ソースを切り替えると、一瞬切り替わったあと、また元に戻る現象(切り替わらない)が発生するんだよなー。これなんでだろう？

今朝の脳内リフレインソング。イントロのエレピがステキね。 Billy Joel - Just the Way You Are (Official Audio) youtu.be/HaA3YZ6QdJU?si… @YouTubeより

設計レビューで「UUIDが衝突した場合の対応が考慮されていない」みたいなことで詰められた経験がある人いませんか

【42年間ありがとうございました】本日20：00をもちまして閉店いたしました。閉店するまでの間たくさんのお花や贈り物をいただきました。大変ありがとうございました。今後ともバンダイナムコアミューズメントをよろしくお願いします。42年間本当にありがとうございました。#namco巣鴨店

最後のフランス書院でニヤついてしまった(笑)

Twitter、最初のツイートから20年経過した。

Rage

@aoasagi 吹き替えも最高なんですね。自分も早いとこ劇場で見なきゃ！

プロジェクト・ヘイル・メアリー、吹き替えで観ました！都内ほぼ字幕上映なので吹き替えで観てる人少ないだろうけど、複数回観る予定の人は一回は吹き替えで観たほうがいいよ、めちゃくちゃ良かった！次はIMAXで観よう。原作の好きな部分だいぶカットとか流されてたけどそれでも良い映画だった。最高

AWSで働いてる弟が「サポートに質問して自己解決した場合でもちゃんとcloseして欲しい。中の人はcloseされるまで必死に泥臭い検証を続けてる。未解決のままだと気になって寝れない人もいる。急に連絡が途絶える人が多すぎて泣きそう」と嘆いてた。みなさん、解決したら必ずcloseしてあげましょう。

そうか、PHPerKaigiやってるんすね(気づくの遅すぎた)… #phperkaigi

知らない路線に乗るとよくわからないところに来ちゃう(意味乗り過ごし)。 という事で戻る。

Podcast番組「植物偏愛談話室」更新🎧 おじゃましたイベントについて3人でゆるっと紹介してます。 イベントハシゴした日は充実感あるぅ〜。 #植物偏愛談話室 open.spotify.com/episode/3wydwQ…

Neovim+Lazy . nvimであれやこれやの設定やプラグイン導入をChatGPTに相談しながらやってる。チャットがながーくなってしまってとにかく大変。そして気づいたら導入したプラグインが動いてないとかとにかく大変。あー大変。大変すぎて大変だわー(なつかしの地獄のミサワ風に)

@aimupurantsu 誕生日＆登録者1000人おめでとうございまーす！！

昨日誕生日を迎え、1000人を達成し大満足であります。今年の目標は草界隈の揉め事を無くし、くそ野郎はYouTubeで晒してやろうと思います。 happy new 俺