u2int10

🚨 Warning: Microsoft Defender is wrongly flagging some DigiCert certificates as Trojan:Win32/Cerdigent.A!dha, triggering widespread false positives on Windows systems. Admins report certificates being removed from the Windows trust store after recent Defender signature updates. What’s happening: 🔴 Two DigiCert root certificates flagged as malware 🔴 Some systems remove certs from the AuthRoot trust store 🔴 Detection added in April 30th Defender signature updates Microsoft has released fixes in Security Intelligence updates version 1.449.430.0. The issue comes shortly after a DigiCert breach where attackers gained access to support systems and code-signing certificates. If you're seeing Trojan:Win32/Cerdigent.A!dha alerts, update Defender signatures immediately.

ATT&CK v19 is live! We've split Defense Evasion into Stealth and Defense Impairment, introduced Sub-Techniques to ICS ATT&CK, Detection Strategies to Mobile, and added some AI and Social Engineering to Enterprise. Check out all the details in our blog post https://t.co/XHzwGHZuNX

An update from NIST. Due to volume they’re only going to enrich CVEs that are meaningful to USG federal systems and critical software (some more nuance in the blog post). This means if you’re relying on the NVD data for your enterprise security program and use other software, your tools may not flag software you use as at risk. https://t.co/pI2o2XootK

JavaScriptの主要HTTPクライアントライブラリaxiosのnpm正規アカウントが乗っ取られ、RAT（遠隔操作ツール）を投下する悪意あるバージョンが公開されていたと報告されています。npmでは同様の手口が繰り返されていますが、今回は週間8,300万回以上ダウンロードされ17万件超のパッケージが依存するaxios自体が直接の標的となりました。 偽パッケージではなく正規のaxios自体が汚染されており、通常どおりインストールするだけで感染するおそれがある状態だったとのこと。 攻撃者はGitHub Actionsを使った自動テスト・公開のパイプラインを経由せず、奪取したメンテナーアカウントのメールアドレスを匿名のProtonMailに変更したうえで、npmのコマンドラインツールから手動で公開したとされています。 リポジトリ側のコードレビューやセキュリティチェックが介在しない経路であり、検知が困難だった模様。 現在、悪意あるバージョンはnpmから削除済みですが、インストール済みの環境ではRATが動作している可能性があり、該当バージョンを導入した場合はシステムが侵害された前提での対応が推奨されています。 【攻撃手口の概要】 ・汚染されたバージョンはaxios@1[.]14[.]1とaxios@0[.]30[.]4の2つ。安全な最新版はそれぞれ1[.]14[.]0と0[.]30[.]3 ・攻撃者はメンテナー（jasonsaayman）のnpmアカウントの認証情報を窃取。メールをifstap@proton[.]meに変更したほか、nrwiseという別のnpmアカウントも関与が確認されている ・悪意あるバージョンにはplain-crypto-js@4[.]2[.]1という偽の依存パッケージが追加されている。axios本体からは一切参照されておらず、インストール直後に自動実行されるpostinstallスクリプトを走らせることだけが目的 ・このスクリプトがmacOS・Windows・Linuxに対応したドロッパーとして機能。C2サーバー（sfrclak[.]com / 142[.]11[.]206[.]73）からOS別の第2段階ペイロードを取得 ・実行後はマルウェア自身を削除し、パッケージの構成情報ファイル（package[.]json）を正規版に差し替えることで痕跡を消去。侵害調査での発見を遅らせる狙いとみられる 2025年9月以降、npmメンテナーの認証情報を起点とするサプライチェーン攻撃が繰り返し発生しています。今回もGitHub Actionsのパイプラインが迂回され、npm CLIから直接公開されていました。利用者側の予防策として、CI環境でのnpm install --ignore-scripts（インストール時のスクリプト自動実行を無効化するオプション）の利用などが挙げられています。 https://t.co/eJHqwkP5si