Nx の攻撃から学べること #s1ngularity | blog.jxck.io
Intro Nx リポジトリが攻撃を受け、広範囲にわたるインシデントが発生した。 今回の事例は、GitHub Actions を中心に複数のステップが組み合わさった攻撃であり、過去に何度も発生してきた攻撃と本質的には変わらない。 しかし、途中で AI が何度か登場するため「AI が書いたコードをマージしたから」などといった表面的な反応もあるが、実態はそこまで単純な話でもない。 また、「自分のプロジェクトは Nx を使っていないから関係ない」とも言えない攻撃であるため、特にフロントエンドエンジニアは全員注意と確認が必要となる。 この攻撃が何だったのか、そこから学べることは何なのか、解説する。 Nx Incident 今回のインシデントについては、既に公式の Advisory が出ている。ニュース系の記事も多々あるが、一次情報は以下となる。 Malicious versions of Nx a
転職から半年経った亀田さんに聞いたCloudflareのすごいところ (1/4)
熱狂の卒業イベントから半年、みんな大好き元AWSの亀田治伸さんがCloudflareのエバンジェリストとして戻ってきた。久しぶりのインタビューは、転職した経緯やCloudflareのサービスや設計思想、ゼロトラストの定義、コミュニティの話まで多岐に及んだ。(インタビュアー ASCII編集部 大谷イビサ 以下、敬称略) ラストワンマイルの課題って意外と解消されていない 大谷:まずは改めてAWSからCloudflareに転職した経緯を教えてください。 亀田:AWSに7年半いて、後半5年はエバンジェリストをやらせてもらいました。クラウドは世の中を大きく変え、これから必須の存在になると私は確信しています。一方で、クラウドに面白さを感じていた人たちがそれなりにシニアになり、イビサさんが先日書いていたようにある程度のイノベーションは出尽くしてきたのも事実です。 こういう時代になり、AWSでも、Goog
Google、無料オープンソース脆弱性スキャンツール「OSV-Scanner V2.0.0」公開 コンテナスキャンに対応、その他の新機能は?
Googleは2025年3月17日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報にアクセスできる無料ツール「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」の提供を開始した。 OSV Scanner V2.0.0では、2025年1月にオープンソース化した「OSV-SCALIBR」(ソフトウェア構成分析支援ライブラリ)の機能を初めて統合し、複数の新機能が追加されている。 「開発者やセキュリティチームが脆弱性管理をシンプルかつ効率的にすることを目標に、OSV-Scannerに新機能を多数追加した。幅広いフォーマットやエコシステムをサポートする、より包括的な脆弱性スキャナーおよび脆弱性修正ツールに進化した」と、Googleは述べている。 OSV-Scanner V2.0.0の新機能 OSV-SCALIBRによる依存関係抽出の強化
DeepSeek、素直すぎて研究機関による安全テストに全部不合格
DeepSeek、素直すぎて研究機関による安全テストに全部不合格2025.02.07 16:0072,664 AJ Dellinger - Gizmodo US [原文] ( そうこ ) AI市場を牽引してきたアメリカのAI企業株を一気にぶち下げた、中国のバケモノAI「DeepSeek」。世界が今最も注目する存在と言っても過言ではありません。が、セキュリティを不安視する声もあがっています。 テスト全落ちCiscoの研究チームが、DeepSeekのAIモデルDeepSeek R1を調査。AI使用において危険・有害だと思われる攻撃的テスト50を実施したところ、そのすべてでしっかりと罠にひっかかってしまいました。そのひっかかり度100%! この手のテスト受けたメインどころの大規模言語モデルの中で、最もひっかかっています。つまり、安全性が低いということ。 Cisco研究チームが使用したのは、言語モ
当社サービスへのサイバー攻撃に関するご報告
2024年12月24日付けの警察庁及び米国連邦捜査局(FBI)など捜査機関からの公表のとおり、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされているサイバー攻撃グループ「TraderTraitor」(以下、「攻撃者」といいます。)による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃により、当社の提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet(以下、「本ソフトウェア」といいます。)」を構成するインフラストラクチャの特定部へ不正アクセスが行われていたことが確認されました。 本件につきまして、お客様をはじめ関係者の皆様に多大なご心配をおかけしたことを心よりお詫び申し上げます。 当社は、捜査機関との原因の究明、再発防止策及びサイバー攻撃の高度化に応じたセキュリティ強化策の実施、お客様をはじめ関係者の皆様へ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://chatgpt.com/g/g-p-6774b7eba59081919c76d850ced877d8/c/690e1a77-27dc-8327-b113-a0f2f996b170
GitHub - imthenachoman/How-To-Secure-A-Linux-Server: An evolving how-to guide for securing a Linux server.
https://x.com/mono_i_love/status/1957968191260619035?t=02nUC9YIybJPi4_Vj5hyvg&s=19
GitHub - dstotijn/hetty: An HTTP toolkit for security research.
GitHub - hashcat/hashcat: World's fastest and most advanced password recovery utility
【Crypto, Web, misc rev 全問解説】SECCON BEGINNERS CTF 2025 writeup stream【pwn3問】
https://x.com/catnose99/status/1948889833000042929?s=12&t=WLoQjPOJLfZ0ZJFtTOS7aw
https://x.com/gianmattya/status/1948518799910862867?s=12&t=WLoQjPOJLfZ0ZJFtTOS7aw
https://x.com/mizchi/status/1948587150561476761?s=12&t=WLoQjPOJLfZ0ZJFtTOS7aw
https://x.com/kenn/status/1948381902232268956?s=12&t=WLoQjPOJLfZ0ZJFtTOS7aw
GitHub - CVEProject/cvelistV5: CVE cache of the official CVE List in CVE JSON 5 format
GitHub - Decurity/semgrep-smart-contracts: Semgrep rules for smart contracts based on DeFi exploits
https://x.com/danielvf/status/1889366464487961016?s=12&t=WLoQjPOJLfZ0ZJFtTOS7aw
開発系VTuber 椎 半音(しい しゃーぷ) @C105 2日目 東7 w19a on X: "某A関係のセキュリティエンジニア 圧倒的に足りてないので、よかったらDMください。紹介します。CISSP持ってたら大歓迎"
Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co.