ソフトウェアサプライチェーン
XZ UtilsのバックドアがLinuxのセキュリティリスクを露呈
2024年春、データ圧縮ライブラリXZ Utilsのバージョン5.6.0および5.6.1に洗練されたバックドアが発見され、多くのLinuxシステムでSSH経由のリモートコード実行を可能にする可能性があった。この悪意あるコードは、匿名寄稿者Jia Tanによって注入され、2024年3月29日にMicrosoftのエンジニアAndres Freundによってテスト中の異常なCPU使用量に気づいた後で暴かれた。この事件は、オープンソースソフトウェアのサプライチェーンにおける脆弱性を浮き彫りにした。
レッドハット、Artifact Signer向けにRekor Monitorを導入
AIによるレポート
レッドハットは、Trusted Artifact Signer向けにRekor Monitorを有効化し、継続的な検証を通じてソフトウェアサプライチェーンのセキュリティを強化しました。このアップデートにより、ユーザーは透明性ログの整合性を向上させることができます。
悪意のある npm パッケージが開発者に infostealer マルウェアを配信
セキュリティ企業 Socket は、npm リポジトリで Windows、macOS、Linux システムの開発者を標的とする 10 個の悪意のあるパッケージを発見しました。これらのパッケージは 7 月以来利用可能で、タイポスクワッティングと洗練された難読化を使用して infostealer マルウェアをインストールします。マルウェアはブラウザの認証情報、SSH キー、設定ファイルからデータを盗み、攻撃者にデータを転送します。