Mastodawn

「Vertex AIの脆弱性により、Google Cloudのデータとプライベートなアーティファクトが漏洩する」： #TheHackerNews

「サイバーセキュリティ研究者らは、Google CloudのVertex AIプラットフォームにセキュリティ上の「盲点」が存在することを明らかにした。この盲点により、攻撃者は人工知能（AI）エージェントを悪用して機密データへの不正アクセスを行い、組織のクラウド環境を侵害する可能性がある。

Palo Alto Networks Unit 42によると、この問題は、Vertex AIの権限モデルが、サービスエージェントのデフォルト設定における過剰な権限範囲を悪用することで悪用される可能性があることに関連している。」

https://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.html

#prattohome

Vertex AI Vulnerability Exposes Google Cloud Data and Private Artifacts

Unit 42 found excessive P4SA permissions in Vertex AI, enabling credential theft and cloud data exposure, increasing breach risk.

The Hacker News

ottoto 23h ago

「Axiosサプライチェーン攻撃により、侵害されたnpmアカウントを介してクロスプラットフォームRATが拡散」： #TheHackerNews

「人気のHTTPクライアントである Axiosが、新たに公開された2つのnpmパッケージのバージョンに悪意のある依存関係が組み込まれたことで、サプライチェーン攻撃を受けた。

注入されていることが判明しました。 Axiosのバージョン1.14.1と0.30.4では、「 plain-crypto-js 」バージョン4.2.1が偽の依存関係として

この2つのバージョンは、 Axiosの主要メンテナー（「jasonsaayman」）の侵害されたnpm認証情報を使用して公開され、攻撃者はプロジェクトのGitHub Actions CI/CDパイプラインを迂回することができた

目的は、macOS、Windows、Linuxを標的とするクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）ドロッパーとして機能するインストール後スクリプトを実行すること。」

https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html

#prattohome

Axios Supply Chain Attack Pushes Cross-Platform RAT via Compromised npm Account

Axios 1.14.1 and 0.30.4 injected malicious [email protected] after npm compromise on March 31, 2026, deploying cross-platform RAT malware.

The Hacker News

ottoto 2d ago

「Citrix NetScalerは、CVE-2026-3055（CVSS 9.3）メモリオーバーリードバグに対するアクティブな調査中です。」： #TheHackerNews

「Defused Cyber と watchTower によると、Citrix NetScaler ADCとNetScaler Gatewayに影響を与える最近明らかになった重大なセキュリティ上の欠陥に対して、活発な偵察活動が行われているとのことです。

この脆弱性（ CVE-2026-3055 、CVSSスコア：9.3）は、入力検証の不備によりメモリの過剰読み取りが発生するケースを指し、攻撃者はこれを悪用して機密情報を漏洩させる可能性がある。

Citrixによると、この脆弱性を悪用するには、アプライアンスがSAML IDプロバイダー（SAML IDP）として構成されている必要があるとのことです。」

https://thehackernews.com/2026/03/citrix-netscaler-under-active-recon-for.html

#prattohome

Citrix NetScaler Under Active Recon for CVE-2026-3055 (CVSS 9.3) Memory Overread Bug

CVE-2026-3055 targets Citrix NetScaler with active reconnaissance, risking data leaks on SAML IDP setups.

The Hacker News

ottoto 4d ago

「TeamPCPが悪意のあるTelnyxバージョンをPyPIにプッシュし、WAVファイルにスティーラーを隠蔽」： #TheHackerNews

「

Trivy 、 KICS 、 litellm を標的としたサプライチェーン攻撃の背後にいる脅威アクターであるTeamPCPは、機密データを盗むために2つの悪意のあるバージョンを配布することで、 telnyx Pythonパッケージを侵害した。

2026年3月27日にPython Package Index（PyPI）リポジトリに公開されたバージョン4.87.1と4.87.2は、認証情報窃盗機能を.WAVファイル内に隠蔽していました。ユーザーは直ちにバージョン4.87.0にダウングレードすることを推奨します。PyPIプロジェクトは現在隔離されています。」

https://thehackernews.com/2026/03/teampcp-pushes-malicious-telnyx.html

#prattohome

TeamPCP Pushes Malicious Telnyx Versions to PyPI, Hides Stealer in WAV Files

Malicious telnyx 4.87.1/4.87.2 on PyPI used audio steganography March 27, 2026, enabling cross-platform credential theft.

The Hacker News

ottoto 4d ago

「Apple、ウェブベースの脆弱性攻撃が活発化していることを受け、旧型iPhoneユーザーにロック画面警告を送信」： #TheHackerNews

「Appleは現在、iOSおよびiPadOSの旧バージョンを実行しているiPhoneとiPadに対し、ウェブベースの攻撃についてユーザーに警告し、アップデートのインストールを促すため、ロック画面に通知を送信している。

この件は MacRumorsが最初に報じた。

「Appleは、お使いのiPhoneにインストールされているバージョンを含む、古いiOSソフトウェアを標的とした攻撃を認識しています。iPhoneを保護するために、この重要なアップデートをインストールしてください」と、Appleが発表した通知には記載されている。」

https://thehackernews.com/2026/03/apple-sends-lock-screen-alerts-to.html

#prattohome

Apple Sends Lock Screen Alerts to Outdated iPhones Over Active Web-Based Exploits

Apple issues Lock Screen alerts after Coruna and DarkSword exploit kits target iOS 13.0–18.7, increasing web-based attack risks.

The Hacker News

ottoto 5d ago

「Claude拡張機能の脆弱性により、あらゆるWebサイト経由でゼロクリックXSSプロンプトインジェクションが可能になる」： #TheHackerNews

「サイバーセキュリティ研究者らは、Anthropic社のGoogle Chrome拡張機能「Claude」に脆弱性があることを明らかにした。この脆弱性を悪用すれば、ウェブページにアクセスするだけで悪意のあるプロンプトが表示される可能性があった。

Koi Securityの研究者、オレン・ヨムトフ氏は、The Hacker Newsに提供したレポートの中で、「この脆弱性により、どのウェブサイトでも、ユーザーが入力したかのように、アシスタントにプロンプトを密かに挿入することが可能になった」と述べている。「クリックも許可のプロンプトも不要。ページにアクセスするだけで、攻撃者はブラウザを完全に制御できる。」」

https://thehackernews.com/2026/03/claude-extension-flaw-enabled-zero.html

#prattohome

Claude Extension Flaw Enabled Zero-Click XSS Prompt Injection via Any Website

Claude extension flaw enabled silent prompt injection via XSS and weak allowlist, risking data theft and impersonation until Feb 19, 2026 fix.

The Hacker News

UmWerker 🕊 ☮️ 🤘6d ago

I have #TheHackerNews in my #RSS feed, but I'd like to add two or three similar sources. Also, I can't find any decent sources on #whistleblowing anymore.

I'm sure you have some recommendations for me, right?

UmWerker 🕊 ☮️ 🤘6d ago

Ich habe #TheHackerNews im #RSS-Feed, würde aber gerne noch zwei oder drei ähnliche Quellen ergänzen. Zudem finde ich keine vernünftige Quelle zum Thema #Whistleblowing mehr.

Ihr habt doch bestimmt Empfehlungen für mich, oder?

ottoto Mar 25

「Ghost Campaignは7つのnpmパッケージを利用して暗号通貨ウォレットと認証情報を盗み出す」： #TheHackerNews

「サイバーセキュリティ研究者らは、暗号通貨ウォレットや機密データを盗むように設計された、新たな悪意のあるnpmパッケージ群を発見した。

この活動はReversingLabsによって Ghost キャンペーンとして追跡されています。mikilanjilloというユーザーによって公開された、特定されたパッケージのリストは以下のとおりです。

react-performance-suite
react-state-optimizer-core
react-fast-utilsa
AI高速自動取引
pkgnewfefame1
carbon-mac-copy-cloner
coinbase-desktop-sdk
」

https://thehackernews.com/2026/03/ghost-campaign-uses-7-npm-packages-to.html

#prattohome

Ghost Campaign Uses 7 npm Packages to Steal Crypto Wallets and Credentials

7 malicious npm packages steal crypto wallets by phishing sudo passwords via fake installs, leading to RAT deployment and credential exfiltration.

The Hacker News

ottoto Mar 25

「サイバーセキュリティ専門化の隠れたコスト：基礎スキルの喪失」： #TheHackerNews

「サイバーセキュリティは、専門家が短期間で専門性を高めることができるという点で、他の分野とは一線を画しています。多くの職業では、まず幅広い基礎訓練が行われます。システムの仕組みを理解してから、その一部に特化していくのです。

セキュリティの世界では、多くの場合、逆のことが起こります。人々は、クラウドセキュリティ、検出エンジニアリング、フォレンジック、IAMといった特定の役割に直接就き、より広範な環境がどのように連携しているかについてはほとんど知識を得られません。そのため、時間が経つにつれて、それぞれの専門分野では非常に有能なチームが形成される一方で、より大きなリスク全体像からは切り離されてしまうのです。」

https://thehackernews.com/2026/03/the-hidden-cost-of-cybersecurity.html

#prattohome

The Hidden Cost of Cybersecurity Specialization: Losing Foundational Skills

Lack of foundational cybersecurity context weakens risk prioritization, causing misaligned tools and slower incident response.

The Hacker News