MigawariIV

According to the complaint, the investigation concluded that APT 10 potentially breached IBM’s network more than 56,000 times between 2013 and 2016. Crucially, the company said it could not investigate further because it had not kept logs of who accessed its network and when — a basic security practice.

⚠️ New "IronWorm" supply-chain attack: 30+ npm packages from @ asteroiddao shipped a malicious Rust binary firing on preinstall. It sweeps 86 env vars + 20 credential files (AWS, GCP, Vault, npm, plus AI keys like Anthropic & OpenAI), hits Exodus wallets, hides behind an eBPF rootkit, and beacons over Tor. Self-propagates via npm Trusted Publishing OIDC, with backdated commits faked as claude/dependabot/renovate.

6月1日からGitHub Copilotが従量課金制になり、「今までのプランのままではGitHub AIクレジットが足りず、十分に使えない」といった声をたびたびXで目にします。 編集部としては、弊誌6月号のGitHub Copilot特集の内容も実際に試してみてほしいのですが、多額の費用がかかるかもしれないことを考えると、積極的にお勧めできないのが残念です。 AIの開発・運用には膨大な計算リソースと電力が必要だが、それに比べてこれまでのAIサービスの利用料金は安すぎる。いずれは値上げされるだろう。――そのような指摘はすでに各方面からありました。とはいえ、現実にそうなると辛いものがありますね。他のAIコーディングツールに乗り換える動きもありますが、それで根本解決になるのかどうか……。 GitHub Copilotの料金体系変更についてはWeb記事（以下のURL参照）で補足したものの、「ユーザーは新しい料金体系のもとで、どう利用していくのが効率的か」というところまではフォローできていません。そのようなノウハウはこれから現場で試行錯誤されていくのでしょう。編集部もAIのコスト面に着目した記事を企画していく必要がありそうです。 前述のような金銭面の課題があるとはいえ、GitHub Copilotは、ITエンジニアが使い慣れたGitHubが提供しているものであり、多くの人が使っているVS Codeからも手軽に使えるということで、引き続き利用する方も多いのではないかと思っています（「普段使いのツールの延長線上の機能として使える」というのは、技術選定の大事な要素の一つなのではないかと）。とくに企業からは「GitHub Copilotは組織で導入しやすい」という声が多いと聞きます。 本誌6月号の特集は現時点のGitHub Copilotの全体像を把握できる内容になっています。他のAIコーディングツールとの比較資料としても役立てると思います。引き続き、本特集にご注目ください。 以下に、本特集の誌面の一部や、本特集の追録記事、特定の章の全記事を公開しています。購読を検討する際に、参考になさってください。 ▼本特集のすべての章の冒頭の誌面 https://t.co/uxOCbH4VRT ▼本特集の追録記事 （誌面に盛り込めなかった直近の料金体系などの変更についてまとめています） https://t.co/6DZXN5mWxR ▼第3章の全文無料公開 （Copilot cloud agentなどGitHubと親和性の高い機能の解説が読めます。GitHub Copilotが使えるのはエディタだけだけじゃない！） https://t.co/I6mV6LRXI5

Yeah, so pretty much this guy is releasing an exploit in solidarity with Nightmare Eclipse guy. He said he notified GitHub about the exploit 60 minutes before releasing this paper. I don't do web stuff, and I'm not a VSCode nerd, so I'm confused by the underlying technologies. If you're a stinky GitHub and VSCode nerd maybe you'll understand. tl;dr click github dev, github dev opens editor, in github dev editor have javascript, javascript does shortcuts automatically. github treats javascript shortcuts as real human input, or something. use javascript shortcut stuff to automatically install vscode extension. the vscode extension steals your data tl;dr tl;dr user clicks 1 link, 1 click steals all data from your github https://t.co/uh17usZeEH

🚨 Security Alert: Multiple Red Hat Cloud Services npm packages have been compromised in a new supply chain incident (@​redhat-cloud-services) The embedded malware executes silently upon installation, targeting local environments to harvest sensitive CI/CD secrets and cloud access tokens. We will share our full technical analysis blog post soon. Stay tuned. 🛡️