BTC $63,616.50 -0.71%
ETH $1,777.83 -1.36%
BNB $578.40 -1.41%
XRP $1.12 -2.49%
SOL $81.03 -1.17%
TRX $0.3315 +0.67%
DOGE $0.0743 -3.09%
ADA $0.1750 -5.16%
BCH $240.75 -0.53%
LINK $7.88 -1.97%
HYPE $69.76 -1.39%
AAVE $90.96 -3.47%
SUI $0.7302 -2.59%
XLM $0.1897 -5.12%
ZEC $486.37 +6.70%
BTC $63,616.50 -0.71%
ETH $1,777.83 -1.36%
BNB $578.40 -1.41%
XRP $1.12 -2.49%
SOL $81.03 -1.17%
TRX $0.3315 +0.67%
DOGE $0.0743 -3.09%
ADA $0.1750 -5.16%
BCH $240.75 -0.53%
LINK $7.88 -1.97%
HYPE $69.76 -1.39%
AAVE $90.96 -3.47%
SUI $0.7302 -2.59%
XLM $0.1897 -5.12%
ZEC $486.37 +6.70%

サプライチェーン

すべて
記事
速報

バイトダンスと中興の協力による新世代「豆包 AI スマートフォン」は、登録の遅延により発表が遅れる可能性があります。

ブルーウェーブテクノロジーの報道によると、中興通訊とバイトダンスが共同で推進している新世代豆包AIスマートフォンは、登録認証プロセスの問題により、当初予定されていた第2四半期の発売が遅れる可能性があります。関係者によると、このスマートフォンはネット情報局の大規模モデルの登録と工業情報部のネット接続認証の両方を通過する必要があり、現在製品は2回目の登録申請の状態にあります。承認が順調に進めば、新機種は早ければ今年の7月から8月に登場する予定です。サプライチェーンに関しては、新世代豆包スマートフォンのスクリーン供給業者が深天馬から京東方に変更され、バッテリーはデサイバッテリーとATLセルを採用し、福日電子傘下の中诺通信が製造を担当しています。さらに、報道によれば、この製品は主に大規模モデルを深く埋め込んだオペレーティングシステムの基盤技術ルートを採用していますが、システムレベルのエージェントによるアプリケーション間の呼び出しを実現する際には、現在、テンセントやアリババなどの主要プラットフォームが関連データ権限を開放していないエコシステムの壁に直面しています。

慢雾:Red Hat クラウドサービスの npm パッケージが活発なサプライチェーン攻撃を受け、300 以上の GitHub リポジトリに盗まれた認証情報が存在する

慢雾 SlowMist は安全警報を発表し、@redhat-cloud-services に関連するソフトウェアパッケージをターゲットとした活発な npm サプライチェーン攻撃を検出しました。現在、31以上のパッケージが影響を受けていることが確認されており、週のダウンロード数は約 116,000 回、300 以上の GitHub リポジトリに盗まれた認証情報が存在します。この攻撃手法は以前の "Shai-Hulud" npm 攻撃と非常に類似しており、認証情報の窃取、悪意のあるリポジトリの作成、自動化された秘密の漏洩が含まれます。現在も新たな疑わしいリポジトリが継続的に出現しており、攻撃が続いていることを示しています。開発者は引き続き感染しています。潜在的な危害には、GitHub/npm トークンの盗難、AWS/GCP/Azure クラウド認証情報の漏洩、SSH キーと Kubernetes 秘密の収集、ローカル環境およびウォレットデータの漏洩、悪意のあるリポジトリの作成および持続的な操作、さらにはトークンが取り消された後に破壊的な行動を引き起こす可能性があります。影響を受けた @redhat-cloud-services パッケージのバージョンを直ちに削除またはダウングレードし、CI/CD ワークフローと依存関係のインストールを全面的に監査し、すべての GitHub、npm、クラウドサービス、SSH およびウォレット関連のキーをローテーションし、ログを保持し、クリーンなイメージから露出した開発者マシンまたは Runner を再構築し、常に高い警戒を維持することをお勧めします。

サプライチェーン攻撃がPyPI/npm/crates.ioに影響を及ぼし、34以上の悪意のあるパッケージが暗号とAI開発者を標的にしています。

慢雾の発表によると、安全機関MistEyeは、npm、PyPI、crates.ioに悪意のあるパッケージを公開することで、暗号通貨、DeFi、Solana、Sui/MoveおよびAI分野の開発者を標的としたクロスレジストリサプライチェーン攻撃事件を検出しました。この攻撃活動には、34以上の悪意のあるパッケージと384以上の関連バージョンが含まれています。攻撃者は暗号通貨ウォレット、SSHキー、クラウド認証情報、GitHub/AWSトークン、ブラウザデータ、環境変数および開発者の機密情報を盗む可能性があります。一部の悪意のあるペイロードは、.cursorrules、CLAUDE.md、Gitフック、シェルフック、cron、systemdおよびSSHを通じて持続的な駐留を試みています。開発者には、影響を受けたパッケージを直ちに削除し、影響を受けたシステムを隔離し、ログを保持し、露出した認証情報をローテーションし、クリーンなイメージからCI実行環境と開発者マシンを再構築し、GitHub、クラウドサービス、SSHおよびウォレットの活動記録を確認することをお勧めします。

GitHubとGrafanaの安全事件は、大規模な「ミニサンドワーム」サプライチェーン攻撃に関連している可能性が高い。

慢雾が発表した脅威情報によると、最近複数の高頻度npmパッケージ、AntVやEcharts-for-react、Python SDKのdurabletaskがMini Shai-Hulud「ミニ沙虫」サプライチェーン攻撃を受けました。npmアカウントatoolが侵害され、攻撃者は22分以内に637の悪意のあるバージョンを自動的に公開し、317のパッケージに関与しました。攻撃者は35分以内にdurabletaskの1.4.1、1.4.2、1.4.3バージョンを連続してアップロードし、正常なリリース管理を回避してMicrosoftの公式リリースを偽装しました。GitHubトークンの大規模漏洩事件とGrafana Labsのランサムウェア攻撃は、このサプライチェーン攻撃と関連している可能性が高いです。影響を受けたコンポーネントには、npmエコシステム内のAntV、Echarts-for-reactなどの高頻度コンポーネント、及びPythonパッケージのdurabletask 1.4.1、1.4.2、1.4.3が含まれます。攻撃者はクラウドおよびローカルの認証情報を盗み、内部リポジトリや敏感なクラウドインフラに無許可でアクセスし、開発者のマシンやCI/CDパイプラインに横移動し、漏洩したGitHubトークンを販売・利用し、ランサムウェアやデータ漏洩の脅威を実施することができます。慢雾は、すべての露出した認証情報を直ちにローテーションし、影響を受けたパッケージを置き換え、感染の可能性があるシステムを隔離し、厳格な依存関係のレビュー政策を実施することを推奨しています。以前の報道によれば、「ミニ沙虫」ワームは最近オープンソースコードリポジトリで大規模感染を完了しており、開発者は注意して調査する必要があります。

first_img ホワイトハウスは、以前にサプライチェーンリスクとして分類したAnthropicとの協力を再開するための計画を策定しています。

Axiosの報道によると、ホワイトハウスは連邦機関がAnthropicのサプライチェーンリスクの認定を回避し、最新のモデルMythosを導入できるようにするガイドラインを策定しています。関係者によれば、ホワイトハウスのこの動きはAnthropicを体面よく呼び戻すことを意図しているとのことです。今月初め、ホワイトハウスの首席補佐官Susie Wilesと財務長官BessentはAnthropicのCEO Dario Amodeiと会談しました。以前、ペンタゴンはAnthropicをサプライチェーンリスクとして挙げていましたが、その理由はAnthropicがペンタゴンがそのモデルClaudeをすべての合法的な用途に使用することを許可する契約に署名することを拒否し、大規模な国内監視や完全自律武器の開発に使用することを禁止することに固執したためです。現在、複数の連邦機関がMythosへのアクセス権を求めており、このモデルは自動化されたネットワーク攻撃の強力な能力を示す一方で、防御ツールとしても機能します。ホワイトハウスは、政策の発表は大統領から直接行われると述べており、それ以外は推測に過ぎないとしています。
app_icon
ChainCatcher Building the Web3 world with innovations.