Security

Source:🛡 概要React Server Components(RSC)とNext.js(App Router)に、未認証の攻撃者によるサーバ側任意コード実行(RCE)が可能となる重大な欠陥が報告されました。CVE-2025-5518...

Source:🛡 概要Shai-Hulud 2.0 は、NPM（Node Package Manager）のパッケージ連鎖を悪用したサプライチェーン攻撃で、数百のパッケージ（全バージョン換算で800超）を汚染し、約3万のGitHubリポジト...

Source:🛡 概要Googleは2025年12月のAndroidセキュリティ情報を公開し、合計107件の脆弱性を修正しました。うち2件（CVE-2025-48633、CVE-2025-48572）は標的型攻撃で悪用が確認されたゼロデイで...

Source:🛡 概要脅威インテリジェンス連携（BCA LTDのMauro Eldritch、NorthScan、ANY.RUN）が、北朝鮮Lazarus系「Chollima」ラインに結び付くリモートITワーカー潜入スキームを、被疑オペレー...

Source:🛡 概要開発者向け拡張マーケットプレース（Microsoft Visual Studio MarketplaceとOpenVSX）で、Glasswormマルウェアの第3波が確認されました。新たに24件の悪性パッケージが両プラッ...

Source:🛡 概要新たなAndroidマルウェア「Albiriox」は、マルウェア・アズ・ア・サービス（MaaS）として提供され、オンデバイス不正（ODF）、画面操作、リアルタイムの遠隔介入を可能にします。研究者の報告によれば、銀行、フ...

Source:🛡 概要脅威アクター「Bloody Wolf」によるフィッシング主導の侵害キャンペーンが、少なくとも2025年6月からキルギスで観測され、10月にはウズベキスタンにも拡大しました。金融、政府、IT部門が狙われ、正規の官公庁を装...

Source:🛡 概要ASUSはAiCloud機能を有効にしたルーターに影響する計9件の脆弱性を修正する新ファームウェアを公開しました。中でもCVE-2025-59366は認証回避につながる重大な欠陥で、遠隔の未認証攻撃者による低複雑度の攻...

Source:🛡 概要JavaScriptの暗号ライブラリ「node-forge」に、署名検証を回避できる脆弱性（CVE-2025-12816）が報告・修正されました。ASN.1の検証ロジックに起因し、細工したデータが正当なものと誤判定され...

Source:🛡 概要Mirai派生の新種ボットネット「ShadowV2」が、D-LinkやTP-LinkなどのIoT/ネットワーク機器に存在する既知の脆弱性を連鎖的に突き、短時間で感染拡大を試みました。Fortinet FortiGuar...