IT掲示板
IT掲示板海外技術情報を日本語でキャッチアップ
HN🔥 369
💬 90

【緊急速報】CVE-2024-YIKESのインシデントレポート:今すぐ影響を確認せよ

miniBill
1日前

ディスカッション (11件)

0
miniBillOP🔥 369
1日前

現在、CVE-2024-YIKESに関連するインシデントが報告されています。該当する脆弱性の詳細や影響範囲、および推奨されるパッチ適用手順については、公式のアドバイザリを速やかに確認し、システムの安全性を確保してください。被害を未然に防ぐため、運用環境の即時スキャンを推奨します。

🔗 リンク先:https://nesbitt.io/2026/02/03/incident-report-cve-2024-yikes.html
1
vsgherzi
1日前

サプライチェーン攻撃は本当に最悪だし、何とかしないとね。個人的にはRustにおいて、Rust言語本体と同じ監査プロセスを受けるコアクレートをいくつか選定して、Rust財団が資金提供することでサプライチェーン脆弱性を減らす案を支持してるよ。cratesやnpmそのものを廃止するのが正解だとは思わないな。多くの開発者にとって大きな恩恵があるし。

2
red_admiral
約24時間前

ここ最近読んだ中で、SCPじゃないのに一番SCPっぽい内容だったわ。

3
lynndotpy
約24時間前

混乱してる人のために言っておくと、これはサプライチェーンインシデントに関する(個人的にはかなり出来が良いと思う)フィクションだよ。ざっと読んだときはマジで実話かと思って焦ったし、そのおかげでじっくり読むことになったけどね笑

4
david_shaw
約24時間前

結果論で見れば問題も解決策も明らかだから皮肉を言うのは簡単だけどさ、長い間(たぶん今もだけど)「Move fast and break things(素早く動き、破壊せよ)」っていうのがハッカーの信条だったからね。

npmみたいなサプライチェーンシステムが抱える明白な問題に対処しようとする動きは素晴らしいと思う。でも、AIによる自律的な開発(エージェンティック・デベロップメント)が原因で、新たなセキュリティ問題の時代に突入してるんじゃないかと懸念してるよ。

MythosやGlasswingが触れるものすべてから脆弱性を掘り起こしてるって話だけじゃない。ソフトウェア開発の方法や依存関係の取り込み方、そして複雑なシステムを人間が頭の中でモデル化する能力を失いつつある現状は、人間には理解不能な「継ぎはぎだらけ」のソフトウェアやインフラを大量に生み出すことになると思うんだ。

数年後に今の状況を振り返って、「どうしてあんなにナイーブだったんだろう」とか「なぜAIを使ってシステムを無理やり再構築すること以外で、AI開発の長期的な影響を計画的に考えられなかったのか」なんて後悔していないことを祈るよ。

まあ、記事自体は面白かったけどね。

5
ObiKenobi
約22時間前

left-justifyのメンテナーがyubikey-official-store.netからYubiKeyを受け取るんだけど、中身は「lol(笑)」って書かれたREADMEが入った4ドルのUSBメモリだったっていうね。

マジで笑った……最高にトロールだわ。

6
mac3n
約22時間前

npmやpipを使わなくてよかったよ、推奨されてるこの方法なら安心だね

    curl ... | bash
7
athrowaway3z
約22時間前

1日目 14:47 UTC — 流出した認証情報の中にvulpine-lz4のメンテナがいた。これは「爆速でFirefoxテーマのLZ4解凍ができる」というRustライブラリ。ロゴはサングラスをかけたキツネのキャラで、GitHubのスターは12個しかないのに、cargo自体の推移的依存関係に入ってるんだよね。

興味本位で調べてみたんだけど、cargoビルドに紛れ込めて、かつbuild.rsがあるから目立ちにくいクレートのリスト(不完全版)がこれ:

flate2
tar
curl-sys
libgit2-sys
openssl-sys
libsqlite3-sys
blake3
libz-sys
zstd-sys
cc

おまけに、xz2の権限が取れればrustupを乗っ取れるな。

まあ、最低限Cargo.lockは追跡してるみたいだけど。

8
bpavuk
約22時間前

「カレン」のやつは笑った :D ;) 中学の時にクラスメートのプロジェクトをレビューしてて見つけたmakeベースのビルドスクリプトを思い出したよ。ホスト名に「bpavuk」が含まれてたらホームディレクトリをrm -rfしようとするっていうね。あれは懐かしいわ!

9
ineedasername
約20時間前

*>「正当なメンテナがEuroMillionsで230万ユーロを当てて、ポルトガルでヤギの牧場経営について調査中...」

*>「根本原因:Kubernetsという名前の犬がYubikeyを食べてしまった」

いやはや、古典的で有名なエクスプロイトに引っかかるなんて無責任だよね。「宝くじで大金を当てて誰かの気を逸らし、その隙にペットに美味しいドングルを食べさせる」っていう常套手段。いつになったらみんな学ぶんだろうね。

10
EdwardDiego
約20時間前

Fish愛好家(Afishionado?)として、これには攻撃された気分であり、同時に理解されてるとも思う:

fish shellはマルウェアではないと明言してほしいという要望があったが、時々そう感じてしまうことはある。

あとシェルとは関係ないけど、

著者は関係者各位に、セキュリティチームの増員リクエストが2023年第1四半期からバックログにあることを思い出してほしいそうだ。

これもすごく身につまされるわ。