海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。 そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。 調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。 なお、今回解説されている内容は正規の「jQuery」へ今回のトロイの木馬が紛れ込んでいるのではなく、 悪意のあるユーザ
by Sansec Forensics Team Published in Threat Research − June 25, 2024 The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites. Update June 28th: We are flagging more domains that have been used by the same actor to spread malware since at least June 2023: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.m
米セキュリティ企業のPhylumは7月3日(現地時間)、JavasScriptライブラリ「jQuery」の特定バージョンがトロイの木馬化され、GitHubなどで拡散していると警告した。 同社は5月26日、パッケージ管理システム「npm」でトロイの木馬化されたjQueryを確認。少なくとも1カ月にわたって、数十のパッケージで“汚染”されたバージョンが公開されているのを確かめた。さらに、GitHubやCDNサービス「jsDelivr」でも拡散していることが分かったとしている。 対象のパッケージには、悪意あるコードが追加されたjQueryのコピーが含まれていた。汚染されたバージョンはWebサイトのフォームデータを抽出し、外部に送信するという。 Phylumは「マルウェアを作動させるために必要な条件は限られているが、パッケージが広く配布されていることから、潜在的な影響は広く、多くの開発者に影響を与
ライブラリはプログラミングの「よく使用される機能」を切り出してまとめたもので、さまざまなライブラリを活用することで効率的にプログラムを組み上げることが可能です。そんなライブラリも他のライブラリの機能を利用して複雑な依存関係を築いていることが多いもの。「Code Galaxies Visualization」はライブラリ間の依存関係を銀河の形に視覚化してくれるサイトです。 Code Galaxies Visualization https://anvaka.github.io/pm/ サイトにアクセスするとこんな感じ。パッケージマネージャーごとにライブラリが整理されています。試しに、ウェブアプリのパッケージマネージャー「Bower」をクリック。 たくさんの星が表示されました。右側にカメラの操作方法が記載されており、マウスとキーボードのどちらでも操作可能な模様。 星にカーソルをあわせるとライブ
Django 開発の最新トレンドを知りたいですか? PyCharm は Django Foundation と連携して世界中 4,000 人以上の Django 開発者を調査し、その回答を基にフレームワークの使用に関するトレンドを解析しました。 このブログ記事では、次のような主な結果をご紹介します。 Django 開発者の 3 人に 1 人が Flask または FastAPI も使用している。 ほとんどの開発者がフルスタック開発と API 開発の両方に Django を使用している。 Django 開発者の 61% が非同期テクノロジーを使用している。 その他にも多くのインサイトがあります! これらの結果を詳しく確認し、インフォグラフィックによる図説も利用しながら Django 開発のその他のトレンドを発見しましょう。 バックエンド: Django 開発者 3 人に 1 人が Flask
顔認識技術を利用したアプリケーションは身近なところにあります。たとえば、カメラで映した顔に猫耳やリボンなどのスタンプを自由に追加できる加工アプリ「SNOW」や、ビデオ会議ツール「Zoom」、「Microsoft Teams」で使用できるフィルター機能などがあります。これらの機能は、フェイストラッキング技術を利用しています。 この技術はアプリだけでなく、ウェブブラウザ上でも実現できます。今回は、Googleが開発した機械学習用JavaScriptライブラリ「TensorFlow.js」を使って、ウェブカメラでリアルタイムに顔が認識されるデモを作成してみました。 TensorFlow.jsとは TensorFlow.jsは、Pythonで広く利用されている機械学習ライブラリ「TensorFlow」をJavaScript用にラップしたもので、ブラウザ上で機械学習モデルを手軽に利用できるようにする
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data
jQuery Attack Hits NPM and GitHub; Can Extract Web Form Data The trojanized jQuery attack has been spread on npm, GitHub and elsewhere since May. A trojanized version of jQuery has been spreading on the npm JavaScript package manager, GitHub and elsewhere, for use in a jQuery attack, security researchers have discovered. Phylum researchers said they have been monitoring the “persistent supply chai
Since May 26, 2024, Phylum has been monitoring a persistent supply chain attacker involving a trojanized version of jQuery. We initially discovered the malicious variant on npm, where we saw the compromised version published in dozens of packages over a month. After investigating, we found instances of the trojanized jQuery on other platforms, such as GitHub, and even as a CDN-hosted resource on j
フロントエンドとJavaScriptの歴史を雑に話す会
フロントエンド歴10年のmizchiと初心者のateaが雑に話します。フロントエンド、プログラミング、AI、ゲーム、FF14、スト6。 52分〜1時間50分あたりは初心者プログラミングの話で、フロントの歴史だけ聞きたい人は飛ばしてください。 2時間43分のトラブルから音声スレッショルドが効きすぎて聞きづらいです。申し訳ない。 0:00 音声トラブル 4:50 雑談 7:30 自己紹介 16:30 配信の動機 18:50 初めてのインターネット 22:20 FlashとCGI 30:00 JavaScript 35:40 GMail/GoogleMap 43:10 サン牧とPerlと 52:00 ネトゲとの付き合い方 1:03:50 ブラックボックス 1:15:37 初心者vsAI 1:32:54 期待値は低いとアド 1:45:00 スト6のモダン 1:50:50 フロントエンド 2:0
その try-catch、意味がありますか?NestJSにおける例外処理の戦略 | TrustHub テックブログ
弊社(トラストハブ)では、バックエンドのプログラミング言語として TypeScript、ウェブフレームワークとしてNestJSを採用しています。本記事では、NestJSの特長を生かした、実際に弊社で採用されている例外処理の戦略について述べます。 その try-catch、意味がありますか? TypeScriptのコードにおいて、try-catch が使われている場面をたびたび見かけます。 try-catch で囲う意図としては以下のようなものがあると思います。 例外をハンドリングすることで処理を継続したい。 例外の型によって処理を分岐したい。 例外の内容をログに出力したい。 例外をハンドリングする必要がありますか 例外は、例外的な状態なので例外なのです。 例外が発生した多くの場合、書かれたコードでは処理を継続できない状況が発生します。処理を継続できない状況において、例外を catch して
この連載について IT業界で働くうちに、いつの間にか「常識」にとらわれるようになっていませんか? もちろん常識は重要です。日々仕事をする中で吸収した常識は、ビジネスだけでなく日常生活を送る上でも大きな助けになるものです。 ただし、常識にとらわれて新しく登場したテクノロジーやサービスの実際の価値を見誤り、的外れなアプローチをしているとしたら、それはむしろあなたの足を引っ張っているといえるかもしれません。 この連載では、アイ・ティ・アールの甲元宏明氏(プリンシパル・アナリスト)がエンタープライズITにまつわる常識をゼロベースで見直し、ビジネスで成果を出すための秘訣(ひけつ)をお伝えします。 「甲元宏明の『目から鱗のエンタープライズIT』」のバックナンバーはこちら クラウドやスマートフォンが一般化し、AIやXR(VR、AR、MRなど)やIoT(モノのインターネット)など多くの先進テクノロジーが迅
package.json dependencies メンテの仕方 最短ルート | フューチャー技術ブログ
本記事は「珠玉のアドベントカレンダー記事をリバイバル公開します」企画のために、以前Qiitaに投稿した記事をブラッシュアップし、フューチャー技術ブログに転載したものになります。Qiita側の元記事もアップデートしています。 はじめにpackage.json の dependencies をメンテナンスするにはどこから手を付ければいいか、を解説します。 Node.js を使っている人にはおなじみ package.json。 package.json の中で一番よく更新されるのが dependencies(個人の感想、次点で scripts)。 そして、依存パッケージが着々とバージョンアップしていくにも関わらず放置されてしまって後々問題になりがちなのも dependencies 。 「npm install で追加したっきり。パッケージのアップデートなんて考えたことなかった」という人や「Git
はじめに おはようございます、しなもんです。 jQuery、使われていらっしゃいますでしょうか。 最近では、Vue.jsやReactなどが登場したことにより やれ「jQueryは時代遅れだ」だの「いや、まだ使えるから学ぶべき」だの、 様々な意見があるライブラリだと思います。 なのでこの記事では、結局jQueryは時代遅れなのか?という問に沿って様々な視点でまとめていこうと思います。 今一度jQueryについて知る jQueryとは、JavaScriptを簡単に扱えるライブラリとして2006年にリリースされました。 当時は使いにくかったJavaScriptのAPIを簡略化するだけでなく、短いコード量で動くこと、当時バラバラだったブラウザによる挙動の違いを吸収できることとして人気を博しました。 現代ではどうか? 先程述べた通り、jQueryは2006年にリリースされています。 当時はまだJav
Supply chain threats are growing. Most concerningly, it seems more and more like we’re dealing with nation level threats taking over small unmaintained open source projects. Once again, I’ve got to start by talking about Tidelift being the only company focusing on the real problem here - helping companies treat maintainers like the contractors/vendors they are. If maintainers had any financial ben
sponsored by Qmonus Value Stream アプリケーション開発に注力するための工夫をシェアしよう! 導入 何について話すのか 開発環境を改善して、効率化することでアプリケーション開発に注力するため行った(行っている)取り組みについてお話します。 本記事はQmonus Value Streamの投稿キャンペーン記事です。 想定読者 レガシーな環境を改善している(していきたい)人 開発環境改善のアイデアが欲しい人 CI/CDやDevOpsよりな仕事に関わる人 どんな人が書いているか(自己紹介) 3年目のエンジニアでバックエンドを中心に担当(最近インフラも担当するようになりました) メインで扱う技術はPHP・TypeScript・AWS アプリケーション開発とAWSインフラ構築を担当する 受託開発が中心の企業に従事 記事で触れる取り組み(取り組んだ順) Dockerの導入
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Polyfill supply chain attack hits 100K+ sites
トロイの木馬化したjQueryがGitHubやCDN経由で拡散 米セキュリティ企業が警告
ライブラリ間の依存関係を銀河のように視覚化してくれるサイト「Code Galaxies Visualization」
2024 年 Django の現状 | The PyCharm Blog
ブラウザ上で可愛いフィルターを実現!TensorFlow.jsを使ったリアルタイム顔認識 - ICS MEDIA
Persistent npm Campaign Shipping Trojanized jQuery
なぜIT部門は先進技術にチャレンジできないのか? 「忙し過ぎ」以外の理由を考える
jQueryは時代遅れなのか? - Qiita
Understanding the Polyfill Attack (Polykill)
開発環境を改善するためにチームに提案して実践したこと - Qiita