プログラム言語のPythonとPHPのライブラリが乗っ取られて悪意のあるバージョンが公開、開発者の情報が収集される

プログラミング言語であるPythonを開発に用いるためのモジュールの人気なもののひとつである「ctx」が、モジュールを取得した開発者の情報を侵害する悪意ある変更を加えられていたことが判明しました。また、オープンソースのプログラミング言語であるPHPの全250万回以上ダウンロードされたモジュールである「phpass」に…

DuckDuckGo、WebブラウザがMicrosoftのトラッキングだけ許していたことについて説明

DuckDuckGoのWebブラウザがMicrosoftにだけユーザー追跡を許しているという指摘に対し、CEOはこれを認め、理由をRedditで説明した。検索シンジケーション契約上の制約によるものだが、制約軽減について話し合い中としている。 「あなたを追跡しない検索エンジン」を謳う米DuckDuckGoが提供するWebブラウザが、米Microsof…

Pythonの古いパッケージ、乗っ取られて情報窃取の機能が追加されていた

人気の高いプログラミング言語であるPythonには、膨大な量のパッケージコレクションが存在している。開発者はこうしたパッケージコレクションを通じて、開発に必要な機能を取得して利用している。パッケージコレクションアップデートも簡単に行え、開発において欠かすことのできない機能となっている。 しかし最近では、…

自治体アプリ改修に関わっていた北朝鮮籍IT技術者への不正送金事案についてまとめてみた – piyolog

2022年5月22日、北朝鮮のIT技術者がスマホ向けアプリ開発を請け負いし報酬を不正送金していたとする報道をうけ、兵庫県は同県の防災アプリ「ひょうご防災ネット」の修正業務に関わっていたと公表しました。ここでは関連する情報をまとめます。 3次委託先が北朝鮮籍のIT技術者 兵庫県は外部からの指摘を受け、北朝鮮籍のI…

NETGEAR社製ルーターにおける認証不要の任意コード実行の技術的解説(PSV-2022-0044) – Flatt Security Blog

※本記事は先立って公開された英語版記事を翻訳し、日本語圏の読者向けに一部改変したものです。 画像出典: https://www.netgear.com/business/wifi/access-points/wac124/ はじめに こんにちは、株式会社Flatt Securityのstypr(@stereotype32)です。 一昨年、日本のOSS製品で発見された0day脆弱性に関する技術解説をブロ…

機密情報は国産で管理を、自民党がデジタル庁に迫る「セキュリティクラウド」の正体

政府や与党などの政策立案者の間で、行政機関の機密情報を扱うための専用クラウド基盤を構築しようとする動きが強まっている。特徴は調達先を国産ベンダーに限定して構築する方針を掲げる点だ。 国産ベンダーに限る主な理由は、海外のクラウドサービスで日本の行政データを管理していると、外国政府が強制力をもってその…