GemStuffer——150本超の偽RubyGemがパッケージレジストリを「データ流出チャネル」として悪用した新型手法
GemStufferは150本超の偽Gemを使い、英国地方議会の公開データをRubyGems経由で外部へ持ち出す前例のない手法。開発者への直接攻撃ではないが、パッケージレジストリが攻撃インフラ化する新パターンを示した。
← タグ一覧
#supply-chain (5 件)
PyTorch Lightning 2.6.2/2.6.3のサプライチェーン攻撃——「Mini Shai-Hulud」がML開発者の認証情報を狙う仕組みと対策
2026年4月30日、PyPI上のPyTorch Lightning v2.6.2/2.6.3が悪意あるコードに汚染された。インポート時に自動実行し、SSH鍵・クラウド認証情報・GitHubトークンを窃取。42分で修正されたその仕組みと、ML開発者が取るべき対策を解説する。
npm CanisterSprawlワーム——自己増殖するサプライチェーン攻撃がpostinstallでAI APIキー・クラウド認証情報を窃取
2026年4月21〜22日に発見された自己増殖型npmワーム「CanisterSprawl」は、postinstallフックで約40カテゴリの秘密情報を収集し、盗んだnpmトークンで被害者の全パッケージに感染を拡大する。PyPIにも波及するマルチエコシステム攻撃の仕組みと対策を解説。
VercelがAIツール経由でサプライチェーン攻撃を受けた——Context.ai OAuth侵害の全貌と開発者がすべき対策
VercelがContext.aiのOAuth侵害を起点としたサプライチェーン攻撃を受け、顧客の環境変数が漏洩。AIツールへのOAuth過剰付与が招いた事故の構造と実践的な対策を解説。
サプライチェーン攻撃と依存関係の脆弱性管理
npmパッケージへの悪意ある改ざん・依存関係の脆弱性など、サプライチェーン攻撃の手口と対策を解説。Dependabot・Socket・署名検証・lockfileの重要性を説明します。