海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。 そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。 調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。 jQueryのサプライチェーン攻撃は高い可変性が特徴 この攻撃はパッケージ間の高い可変性が特徴です。 公開されたパッケ
by Sansec Forensics Team Published in Threat Research − June 25, 2024 The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites. Update June 28th: We are flagging more domains that have been used by the same actor to spread malware since at least June 2023: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.m
先日The Registerを見ていたらアジャイル開発の失敗率は268%も高い Study finds 268% higher failure rates for Agile software projectsという記事が目に入りました。 The RegisterはITニュースサイトで、日本で言うところのITmediaやWIRED、GIGAZINEみたいなところですかね。 その記事は元記事を紹介しているもので、『元記事はImpact Engineeringの宣伝ではあるが、アジャイル開発は期待ほどうまくいかないという疑念を抱かせるのにも十分である』というようなまとめになっていました。 ではImpact Engineeringってなんなんだよと元記事268% Higher Failure Rates for Agile Software Projects, Study Findsを最後まで読
米セキュリティ企業のPhylumは7月3日(現地時間)、JavasScriptライブラリ「jQuery」の特定バージョンがトロイの木馬化され、GitHubなどで拡散していると警告した。 同社は5月26日、パッケージ管理システム「npm」でトロイの木馬化されたjQueryを確認。少なくとも1カ月にわたって、数十のパッケージで“汚染”されたバージョンが公開されているのを確かめた。さらに、GitHubやCDNサービス「jsDelivr」でも拡散していることが分かったとしている。 対象のパッケージには、悪意あるコードが追加されたjQueryのコピーが含まれていた。汚染されたバージョンはWebサイトのフォームデータを抽出し、外部に送信するという。 Phylumは「マルウェアを作動させるために必要な条件は限られているが、パッケージが広く配布されていることから、潜在的な影響は広く、多くの開発者に影響を与
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data The trojanized jQuery attack has been spread on npm, GitHub and elsewhere since May. A trojanized version of jQuery has been spreading on the npm JavaScript package manager, GitHub and elsewhere, for use in a jQuery attack, security researchers have discovered. Phylum researchers said they have been monitoring the “persistent supply chai
Django 開発の最新トレンドを知りたいですか? PyCharm は Django Foundation と連携して世界中 4,000 人以上の Django 開発者を調査し、その回答を基にフレームワークの使用に関するトレンドを解析しました。 このブログ記事では、次のような主な結果をご紹介します。 Django 開発者の 3 人に 1 人が Flask または FastAPI も使用している。 ほとんどの開発者がフルスタック開発と API 開発の両方に Django を使用している。 Django 開発者の 61% が非同期テクノロジーを使用している。 その他にも多くのインサイトがあります! これらの結果を詳しく確認し、インフォグラフィックによる図説も利用しながら Django 開発のその他のトレンドを発見しましょう。 バックエンド: Django 開発者 3 人に 1 人が Flask
Since May 26, 2024, Phylum has been monitoring a persistent supply chain attacker involving a trojanized version of jQuery. We initially discovered the malicious variant on npm, where we saw the compromised version published in dozens of packages over a month. After investigating, we found instances of the trojanized jQuery on other platforms, such as GitHub, and even as a CDN-hosted resource on j
package.json dependencies メンテの仕方 最短ルート | フューチャー技術ブログ
本記事は「珠玉のアドベントカレンダー記事をリバイバル公開します」企画のために、以前Qiitaに投稿した記事をブラッシュアップし、フューチャー技術ブログに転載したものになります。Qiita側の元記事もアップデートしています。 はじめにpackage.json の dependencies をメンテナンスするにはどこから手を付ければいいか、を解説します。 Node.js を使っている人にはおなじみ package.json。 package.json の中で一番よく更新されるのが dependencies(個人の感想、次点で scripts)。 そして、依存パッケージが着々とバージョンアップしていくにも関わらず放置されてしまって後々問題になりがちなのも dependencies 。 「npm install で追加したっきり。パッケージのアップデートなんて考えたことなかった」という人や「Git
フロントエンドとJavaScriptの歴史を雑に話す会
フロントエンド歴10年のmizchiと初心者のateaが雑に話します。フロントエンド、プログラミング、AI、ゲーム、FF14、スト6。 52分〜1時間50分あたりは初心者プログラミングの話で、フロントの歴史だけ聞きたい人は飛ばしてください。 2時間43分のトラブルから音声スレッショルドが効きすぎて聞きづらいです。申し訳ない。 0:00 音声トラブル 4:50 雑談 7:30 自己紹介 16:30 配信の動機 18:50 初めてのインターネット 22:20 FlashとCGI 30:00 JavaScript 35:40 GMail/GoogleMap 43:10 サン牧とPerlと 52:00 ネトゲとの付き合い方 1:03:50 ブラックボックス 1:15:37 初心者vsAI 1:32:54 期待値は低いとアド 1:45:00 スト6のモダン 1:50:50 フロントエンド 2:0
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data The trojanized jQuery attack has been spread on npm, GitHub and elsewhere since May. A trojanized version of jQuery has been spreading on the npm JavaScript package manager, GitHub and elsewhere, for use in a jQuery attack, security researchers have discovered. Phylum researchers said they have been monitoring the “persistent supply chai
Supply chain threats are growing. Most concerningly, it seems more and more like we’re dealing with nation level threats taking over small unmaintained open source projects. Once again, I’ve got to start by talking about Tidelift being the only company focusing on the real problem here - helping companies treat maintainers like the contractors/vendors they are. If maintainers had any financial ben
What Are CSS Container Style Queries Good For? — Smashing Magazine
What are these CSS Container Style Queries, and why should you use them? Juan Diego Rodríguez delves deeply into style queries, and not at the syntax level, but at what exactly they are solving and what sort of use cases you would find yourselves reaching for them in your work if and when they gain browser support. We’ve relied on media queries for a long time in the responsive world of CSS but th
はじめに おはようございます、しなもんです。 jQuery、使われていらっしゃいますでしょうか。 最近では、Vue.jsやReactなどが登場したことにより やれ「jQueryは時代遅れだ」だの「いや、まだ使えるから学ぶべき」だの、 様々な意見があるライブラリだと思います。 なのでこの記事では、結局jQueryは時代遅れなのか?という問に沿って様々な視点でまとめていこうと思います。 今一度jQueryについて知る jQueryとは、JavaScriptを簡単に扱えるライブラリとして2006年にリリースされました。 当時は使いにくかったJavaScriptのAPIを簡略化するだけでなく、短いコード量で動くこと、当時バラバラだったブラウザによる挙動の違いを吸収できることとして人気を博しました。 現代ではどうか? 先程述べた通り、jQueryは2006年にリリースされています。 当時はまだJav
sponsored by Qmonus Value Stream アプリケーション開発に注力するための工夫をシェアしよう! 導入 何について話すのか 開発環境を改善して、効率化することでアプリケーション開発に注力するため行った(行っている)取り組みについてお話します。 本記事はQmonus Value Streamの投稿キャンペーン記事です。 想定読者 レガシーな環境を改善している(していきたい)人 開発環境改善のアイデアが欲しい人 CI/CDやDevOpsよりな仕事に関わる人 どんな人が書いているか(自己紹介) 3年目のエンジニアでバックエンドを中心に担当(最近インフラも担当するようになりました) メインで扱う技術はPHP・TypeScript・AWS アプリケーション開発とAWSインフラ構築を担当する 受託開発が中心の企業に従事 記事で触れる取り組み(取り組んだ順) Dockerの導入
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Polyfill supply chain attack hits 100K+ sites
『アジャイル開発の失敗率は268%も高い』のコメント欄が面白かったので紹介するよ - Qiita
トロイの木馬化したjQueryがGitHubやCDN経由で拡散 米セキュリティ企業が警告
2024 年 Django の現状 | The PyCharm Blog
Persistent npm Campaign Shipping Trojanized jQuery
Understanding the Polyfill Attack (Polykill)
jQueryは時代遅れなのか? - Qiita
開発環境を改善するためにチームに提案して実践したこと - Qiita