ホーム / Critical Brief / Category archive
Lemma Critical Brief · Category archive

コード来歴

supply chain attack、commit forgery、CI/CD 経由侵入。

7 件の Brief
No. 030 · 2026-06-06

Stripe の信頼された API インフラが、カード窃取コードの配送と窃取データの保管に転用された

allowlist はドメインの身元を信頼し、運ばれる内容の来歴を検証しない

Pillar 01 来歴証明 コード来歴 認証・認可データ来歴 Brief →
No. 025 · 2026-06-05

MCP の設定→コマンド実行という設計と、供給網規模の RCE

2026 年 4 月、セキュリティ企業 OX Security が、Anthropic の Model Context Protocol(MCP)公式 SDK に、設定から直接コマンド実行に至る設計上の問題があり、脆弱な MCP 実装上で任意コマンド実行(RCE)が成立し得ると公…

Pillar 03 エージェント権限証明 エージェント基盤 認証・認可コード来歴 Brief →
No. 028 · 2026-06-05

npm 依存関係混乱による開発環境偵察キャンペーン

内部スコープを偽装した 33 パッケージが、ビルド環境の来歴前提を突いた

Pillar 01 来歴証明 コード来歴 認証・認可 Brief →
No. 010 · 2026-05-31

Claude Code ソース流出便乗マルウェア

信頼シグナルと GitHub Releases を配送路に転用した来歴偽装

Pillar 01 来歴証明 コード来歴 認証・認可 Brief →
No. 014 · 2026-05-31

TanStack npm 汚染

正規 OIDC trusted publisher で署名された悪性パッケージ、来歴署名が有効でも成果物は悪性

Pillar 01 来歴証明 コード来歴 認証・認可 Brief →
No. 015 · 2026-05-31

GitHub 内部リポジトリ侵害

マーケット掲載 18 分の毒入り VS Code 拡張が開発者の信頼面を突いた

Pillar 01 来歴証明 コード来歴 認証・認可 Brief →
No. 004 · 2026-05-30

Megalodon GitHub サプライチェーン

6 時間で 5,561 リポジトリを汚染した CI/CD 認証情報窃取キャンペーン

Pillar 01 来歴証明 コード来歴 認証・認可 Brief →