Axios NPM supply chain incident ⭐
Severity: 92/100
Cisco Talosは、2026年3月31日に発生した公式Axios npmパッケージへのサプライチェーン攻撃を調査している。v1.14.1とv0.30.4の2つの悪意ある版が約3時間だけ公開され、plain-crypto-jsという偽の依存関係がpost-installでユーザー操作なしに実行された。実行後は142.11.206.73へOS情報を送信し、LinuxではPythonバックドア、Windowsではwt.exeを使うps1、MacOSではcom.apple.act.mondを取得して実行した。Talosは、影響を受けた環境をv1.14.0またはv0.30.3へロールバックし、侵害システムで取得された資格情報を漏えい扱いとして速やかに更新するよう推奨している。IOCとしてSfrclak.comや複数のSHA256が提示された。
Supply Chain Attacks Surge in March 2026 | ThreatLabz ⭐
Severity: 92/100
2026年3月にソフトウェア供給網攻撃が急増し、Axios NPM改ざんは北朝鮮系脅威アクターに、LiteLLMの改ざんはTeamPCPに関連付けられた。Axiosでは保守者アカウントの乗っ取りでGitHub ActionsのCI/CDを回避し、NPM CLIから不正版を公開、maliciousなplain-crypto-js依存を追加してpostinstallでmacOS、Windows、Linux向けのクロスプラットフォームRATを展開した。LiteLLMではPyPI上の1.82.7と1.82.8に悪性コードが混入し、.pthファイルの自動実行やproxy_server.py内のBase64難読化ペイロードで起動時またはimport時に動作した。狙いはAWS、GCP、Azureトークン、SSH鍵、Kubernetes認証情報の窃取で、C2はcheckmarx[.]zone、漏えい先はmodels[.]litellm[.]cloudとされる。対策として、クリーン版へのダウングレード、トークンや鍵の失効、MFA有効化、lockfile厳格適用、CI/CDの権限制御と秘密情報管理が挙げられた。
Blast Radius of TeamPCP Attacks Expands Amid Hacker Infighting ⭐
Severity: 90/100
TeamPCPによる供給網攻撃に関連して、ShinyHuntersやLapsus$がデータ流出を主張し、帰属が不透明なまま被害の広がりが示されています。記事は、改ざんされたTrivyやLiteLLM関連の侵害を起点に、盗まれた認証情報とシークレットを悪用してAWS、Azure、SaaS環境へ侵入する手口を報じています。CERT-EUは欧州委員会のクラウド侵害で、Compromised版Trivyの導入によりAWS APIキーが奪取され、Trufflehogで追加の資格情報を探索された後、S3やECSなどからデータが持ち出されたとしています。Wizも同様の攻撃を複数確認しています。対処として、露出したシークレットの即時失効とローテーション、全トークン無効化、クラウド認証情報の再発行、CI/CDランナーやGitHub Actions、パッケージ公開フローの点検、クラウドとSaaSでの不審活動のハントが挙げられています。
Device code phishing attacks surge 37x as new kits spread online ⭐
Severity: 90/100
Push Securityは、OAuth 2.0のDevice Authorization Grantフローを悪用するdevice code phishingが今年37.5倍に増加したと報告した。従来は国家支援型と金銭目的の攻撃者の双方に使われていたが、現在は複数のサイバー犯罪者に広く採用されている。攻撃者は認可コードを送付し、被害者を正規ログインページで入力させて端末を承認させ、アクセス/リフレッシュトークンを取得する。影響は主にMicrosoft EntraやMicrosoft 365アカウントで、少なくとも11種類のキットが確認され、EvilTokens、VENOM、DOCUPOLLなどが含まれる。SharePoint、Teams、Adobe、DocuSign、Office 365、Oktaを装った誘導、Cloudflareやworkers.dev、GitHub Pages、AWS S3などのクラウド基盤、anti-bot保護、回転APIエンドポイントの利用が特徴として挙げられた。対策として、不要な環境ではconditional accessでdevice codeフローを無効化し、予期しないdevice code認証、異常なIP、セッションを監視するよう推奨している。
Apple Breaks Precedent, Patches DarkSword for iOS 18 ⭐
Severity: 89/100
DarkSwordは、iOS向けの強力なエクスプロイトチェーンとして扱われ、公開後にGitHubへ漏えいしたことで広く流通した。記事では、Lookoutが観測した事例として、TA446によるAtlantic Councilを装うフィッシング अभियानや、出自不明の犯罪キャンペーン、テストと思われる利用が挙げられている。DarkSwordは端末をroot化せず、プロセスの権限を継承してRing 0にアクセスする処理系へ到達できる点が、検知を難しくしているとされる。AppleはiOS 26向け修正に加え、iOS 18利用者にもバックポートした修正を4月1日に提供し、影響端末への通知やWebベース攻撃に関する脅威ガイダンスも公開した。
Do not get high(jacked) off your own supply (chain) ⭐
Severity: 78/100
Cisco Talosは、Axiosの改ざんや、オープンソースのGitHubリポジトリを乗っ取って悪性コードを注入したTeamPCPを含む、最近の供給網攻撃の増加を指摘している。攻撃手法は、信頼されたライブラリやフレームワーク、たとえば Trivy などへの混入と、その下流利用者への連鎖的な影響である。影響範囲は広く、Axiosの週1億回のダウンロードや、広範に埋め込まれたReact2Shell、Log4j系の例が示すように、多数の組織と開発基盤に及ぶ。記事は具体的なMITRE ATT&CK対応を示さないが、CI/CD侵害、アイデンティティ保護、セグメンテーション、堅牢なログ、MFA、緊急対応計画を重要な対策として挙げ、ライブラリ資産の棚卸し、インシデント把握、迅速なパッチ適用と緩和策の実施を求めている。
Six Accounts, One Actor: Inside the prt-scan Supply Chain Campaign ⭐
Severity: 74/100
Wiz Researchは、GitHub Actionsのpull_request_targetを悪用するprt-scanキャンペーンを、単独の攻撃者による少なくとも6波の活動として追跡した。攻撃者はprt-scan-{12桁hex}のブランチ、“ci: update build configuration"というPR、python-requests/2.32.5のUser-Agentを用い、conftest.py、package.json、Makefile、build.rsなどへペイロードを注入してGITHUB_TOKENや各種シークレット、クラウドメタデータの取得を試みた。対象は大小のGitHubリポジトリで、475件超のPRと少なくとも2件のnpmパッケージ侵害が確認され、AWSキー、Cloudflare APIトークン、Netlify認証トークンの漏えいも観測された。記事は組織内のIOC確認とGitHub hardeningを求め、第一回コントリビュータ承認、actor制限、pathベース条件が高価値リポジトリの防御に有効だったとしている。
LinkedIn secretly scans for 6,000+ Chrome extensions, collects data ⭐
Severity: 20/100
BrowserGateと称する報告は、Microsoft傘下のLinkedInがWebサイトに隠しJavaScriptを埋め込み、訪問者のChrome/Chromium環境に入っている拡張機能と端末情報を収集していると指摘した。BleepingComputerは、ランダム名のJavaScriptが読み込まれ、拡張機能IDに対応する静的リソースの存在確認で6,236件を検知していることを確認した。収集対象はCPUコア数、メモリ、画面解像度、タイムゾーン、言語、バッテリー、音声、ストレージなどで、LinkedInアカウントに紐づく実名、雇用先、職務と結び付けられる点が特徴とされる。LinkedInは、これは利用規約違反のスクレイピング拡張を見つけて利用者保護と安定性確保に使うもので、機微情報の推定には使わないと否定している。
LinkedIn secretly scans for 6,000+ Chrome extensions, collects data ⭐
Severity: 20/100
Fairlinked e.V.のBrowserGate報告は、LinkedInがサイト内に埋め込んだJavaScriptで訪問者のChromium系ブラウザを調査し、6,236件の拡張機能の有無を拡張ID由来の静的リソース参照で判定していると指摘した。BleepingComputerもランダム名のスクリプトを確認し、CPUコア数、メモリ、画面解像度、タイムゾーン、言語設定、バッテリー、音声、ストレージなどの端末情報収集を観測した。報告側は、この手法が利用者の実名プロフィールと結び付けられ、競合製品の利用状況把握や対象特定に使われ得ると主張している。LinkedInは、規約違反のデータ収集系拡張を検出し、プラットフォーム防御と安定性維持のために用いているだけで、機微情報の推定には使わないと反論した。
「axios」にマルウェア混入、npmサプライチェーン攻撃 開発環境が侵害の恐れ
Severity: 94/100
Malwarebytesによると、npmで配布されるJavaScript HTTPクライアントライブラリaxiosが侵害され、攻撃者はメンテナーの認証情報を悪用してaxios@1.14.1とaxios@0.30.4を改ざん公開した。依存関係として挿入されたplain-crypto-js@4.2.1がマルウェアドロッパーとして機能し、Windows、macOS、Linuxを標的にRATを展開するため、当該版を直接または間接的に導入した開発環境が侵害された可能性がある。React、Vue、Angular、Electron、React Nativeへの波及も指摘され、Webブラウザで利用するだけの一般利用者への影響は低いとされた。対処として、影響調査とともに環境内のパスワード、署名鍵、APIキーなどのシークレット更新、StepSecurityが公開したIoCでの確認が推奨されている。
Hims & Hers warns of data breach after Zendesk support ticket breach
Severity: 83/100
BleepingComputerによると、Hims & Hersへの侵害はShinyHuntersによるものとみられ、第三者のカスタマーサポート基盤を狙った広範なキャンペーンの一部だった。攻撃者はOktaのSSOアカウントを悪用してZendeskのインスタンスにアクセスし、2月4日から7日にかけてサポートチケットを不正に取得した。影響を受けたのは顧客サービス宛てのチケットで、氏名、連絡先情報、申請内容に関連するその他の未特定情報が含まれる可能性がある一方、医療記録や医師との通信は漏えいしていない。Hims & Hersは2月5日に異常を把握し、プラットフォームを保護して調査を開始、影響者には12か月の無料クレジット監視を提供する。あわせて、不審な連絡への警戒、口座明細と信用情報の監視を呼びかけている。
Die Linke German political party confirms data stolen by Qilin ransomware
Severity: 79/100
Qilinランサムウェアグループが、ドイツの政党Die Linkeのネットワークを侵害し、データを窃取したと主張している。党は3月27日にサイバーインシデントを公表していたが、今回は内部領域の機微情報と党本部職員の個人情報が漏えい対象になり得ると認めた一方、党員データベースへの侵害は否定した。党は攻撃者を金銭的・政治的動機を持つロシア語圏のサイバー犯罪者と説明し、攻撃が偶然ではない可能性にも言及している。Qilinは4月1日に漏えいサイトへ同党を掲載したが、現時点でデータサンプルは公開していない。党は当局へ通報し警察へ告発を行い、独立したIT専門家とともに影響を受けたシステムの安全な復旧を進めている。
Inconsistent Privacy Labels Don’t Tell Users What They Are Getting
Severity: 0/100
本稿は、モバイルアプリのプライバシーラベルが有用な発想である一方、現行の仕組みだけではユーザーのプライバシー保護に十分でないと論じる。Carnegie Mellon大学のLorrie Cranor氏は、ラベルは情報提供には役立つが、プライバシーそのものを守るものではないと指摘した。YobiのKelly Peterson氏も、企業は実態の検証よりコンプライアンス対応を優先しがちだと述べる。Cranor氏の研究では、iOSのプライバシーラベルに多数の不正確さがあり、GoogleとAppleでデータ収集の定義も異なる。対策として、ラベルの標準化、アプリストアでの表示強化、開発者向けの正確な作成支援、ラベル検証の仕組み、簡略化されたプライバシーポリシーの提供が挙げられている。