2026/06/01 22:30

Red Hat クラウドサービスで悪意のある npm パッケージが検出されました

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

@redhat-cloud-services

スコープ下の NPM に公開されている複数の npm パッケージが侵害され、Red Hat Cloud Services を利用する開発者やエンタープライズにとって即座のリスクを発生させているという重要なセキュリティアラートが確認されました。この脆弱性は、コアクライアントツール、フロントエンドユーティリティ、コンプライアンス機器、翻訳サービス（例：

@redhat-cloud-services/insights-client

、

frontend-components

、

compliance-client

）を含む広範なエコシステムをまたいでいます。セキュリティの詳細は StepSecurity フィード（https://app.stepsecurity.io/oss-security-feed?q=@redhat-cloud-services）を通じて入手可能で、影響を受けるパッケージの全リストとバージョン範囲は同社のブログ記事（https://www.stepsecurity.io/blog/multiple-redhat-cloud-services-npm-packages-compromised）に記載されています。これらの依存関係を使用している組織は、潜在的なデータ漏洩や不正アクセスを防ぐために、緊急に公式勧告でリストされているパッチ済みバージョンへの更新と見直しを行う必要があります。

Text to translate:

A critical security alert confirms that multiple npm packages under the

@redhat-cloud-services

scope published on NPM are compromised, posing immediate risks to developers and enterprises relying on Red Hat Cloud Services. The vulnerability spans a broad ecosystem of core client tools, frontend utilities, compliance instruments, and translation services (e.g.,

@redhat-cloud-services/insights-client

frontend-components

compliance-client

). Security details are available via the StepSecurity feed: https://app.stepsecurity.io/oss-security-feed?q=@redhat-cloud-services, with a full list of affected packages and version ranges in their blog: https://www.stepsecurity.io/blog/multiple-redhat-cloud-services-npm-packages-compromised. Organizations using these dependencies should urgently review and update to patched versions listed in the official advisory to prevent potential data breaches and unauthorized access.

本文

Red Hat Cloud Services NPM パッケージの侵害に関するセキュリティ警報

Red Hat Cloud Services に属する複数の NPM パッケージ が、権限昇級（Privilege Escalation）脆弱性を有していると確認されました。この事象は、@stepsecurity というセキュリティ調査チームによって発見・報告されています。

影響を受けるソフトウェアとバージョン

以下のパッケージが影響を受けています。太字にした版本号は脆弱化されている可能性のあるバージョンです。脆弱性を回避するため、これらのバージョンを使用していませんか？

```
@redhat-cloud-services/chrome
```
: 2.3.1, 2.3.2, 2.3.4

@redhat-cloud-services/compliance-client

: 4.0.3, 4.0.4, 4.0.6

@redhat-cloud-services/config-manager-client

: 5.0.4, 5.0.5, 5.0.7

@redhat-cloud-services/entitlements-client

: 4.0.11, 4.0.12, 4.0.14

@redhat-cloud-services/eslint-config-redhat-cloud-services

: 3.2.1, 3.2.2, 3.2.4

@redhat-cloud-services/frontend-components

: 7.7.2, 7.7.3, 7.7.5

@redhat-cloud-services/frontend-components-advisor-components

: 3.8.2, 3.8.4, 3.8.6

@redhat-cloud-services/frontend-components-config

: 6.11.3, 6.11.4, 6.11.6

@redhat-cloud-services/frontend-components-config-utilities

: 4.11.2, 4.11.3, 4.11.5

@redhat-cloud-services/frontend-components-notifications

: 6.9.2, 6.9.3, 6.9.5

@redhat-cloud-services/frontend-components-remediations

: 4.9.2, 4.9.3, 4.9.5

@redhat-cloud-services/frontend-components-testing

: 1.2.1, 1.2.2, 1.2.4

@redhat-cloud-services/frontend-components-translations

: 4.4.1, 4.4.2, 4.4.4

@redhat-cloud-services/frontend-components-utilities

: 7.4.1, 7.4.2, 7.4.4

```
@redhat-cloud-services/hcc-feo-mcp
```
: 0.3.1, 0.3.2, 0.3.4
```
@redhat-cloud-services/hcc-kessel-mcp
```
: 0.3.1, 0.3.2, 0.3.4
```
@redhat-cloud-services/hcc-pf-mcp
```
: 0.6.1, 0.6.2, 0.6.4

@redhat-cloud-services/host-inventory-client

: 5.0.3, 5.0.4, 5.0.6

```
@redhat-cloud-services/insights-client
```
: 4.0.4, 4.0.5, 4.0.7

@redhat-cloud-services/integrations-client

: 6.0.4, 6.0.5, 6.0.7

@redhat-cloud-services/javascript-clients-shared

: 2.0.8, 2.0.9, 2.0.11

@redhat-cloud-services/notifications-client

: 6.1.4, 6.1.5, 6.1.7

```
@redhat-cloud-services/patch-client
```
: 4.0.4, 4.0.5, 4.0.7

@redhat-cloud-services/quickstarts-client

: 4.0.11, 4.0.12, 4.0.14

```
@redhat-cloud-services/rbac-client
```
: 9.0.3, 9.0.4, 9.0.6

@redhat-cloud-services/remediations-client

: 4.0.4, 4.0.5, 4.0.7

```
@redhat-cloud-services/rule-components
```
: 4.7.2, 4.7.3, 4.7.5
```
@redhat-cloud-services/sources-client
```
: 3.0.10, 3.0.11, 3.0.13

@redhat-cloud-services/topological-inventory-client

: 3.0.10, 3.0.11, 3.0.13

@redhat-cloud-services/tsc-transform-imports

: 1.2.2, 1.2.4, 1.2.6

```
@redhat-cloud-services/types
```
: 3.6.1, 3.6.2, 3.6.4

@redhat-cloud-services/vulnerabilities-client

: 2.1.9, 2.1.11

脆弱性の概要とリスク

今回の侵害は、特定の条件下で攻撃者が実行権限を取得できることを可能にするものとして判明しています。

影響範囲: 20 種類以上のパッケージ が対象となりました。
被害想定: 攻撃者はシステム内での権限昇級 (Privilege Escalation) を実行し、セキュリティプロバイダやユーザーのデータにアクセスするリスクがあります。

対策と補足情報

脆弱性を解消するためには、以下の手順を推奨します。

1. パッケージの更新

影響を受けるパッケージを使用している場合、最新バージョンへのアップグレードが最も確実な対策です。

npm

または

yarn

を使用している開発者は、以下のようなコマンドで依存関係を再構築することをお勧めします。

# npm を利用する場合
npm audit fix

# より手動で特定の脆弱化パッケージを更新する場合は以下の命令を使用
npm install @redhat-cloud-services/chrome@latest --save
# ... 他の対象パッケージも同様に更新してください

2. オートメーションによる監視

最新のセキュリティフィードや CVE データは、StepSecurity の公開リポジトリから確認できます。自動化ツールとの連携を強化することも重要です。

OSS セキュリティフィードの確認:
https://app.stepsecurity.io/oss-security-feed?q=@redhat-cloud-services
詳細レポート:
StepSecurity ブログ記事（侵害の詳細）

3. システムの監査

現在、上記の脆弱化バージョンがプロダクション環境に含まれていないか確認してください。もし含まれている場合は、早期更新を実施することをお勧めします。

同じ日のほかのニュース

一覧に戻る →

2026/06/02 1:31

最新のインスタグラムの「 exploits（バグ）」で最もユニークなのは私がこれまでに見た中で一番奇妙なものです。

## 日本語翻訳: 洗練されたセキュリティ上の不備により、ハッカーらは警報を触発することなく Instagram のアカウントを乗っ取り、@obamawhitehouse や @ocmssf のような高価値なユーザー名を対象に Meta の「Takeover Flow」を利用した。攻撃者は被害者のユーザー名を使用してプロセスを開始し、VPN または代理サーバーを介して請求をアカウントの報告された都市の近くから経路化することで、位置情報に基づくセキュリティを回避した。彼らは Meta の AI サポートチャットボットに連絡し、アカウントが侵害されたことをごりごしくれ、検証コードを受信するメールアドレスを任意で指定することを要求した。Instagram のシステムは、この要求されたメールアドレスが以前にそのアカウントと関連付けられていたかどうかを検証しなかった。AI がコードを送信すると、それはパスワードリセットリンクのトリガーとしての検証に使われ、完全な所有権が付与された。Meta のサポート AI はビデオでの自己撮影（生真面目）を身分証明として要求する可能性があるが、ターゲットのフィードから単純に AI でアニメーション化された公開写真は、このチェックを成功裡に回避した。回復フローは、そのリクエストを「本当の」所有者による完全なアカウントリセットとして扱い、2FA を完全に回避し、メール、テキスト、またはプッシュ通知を触発することなく進んだ。正当なユーザーのセッションは沈黙的に破棄され、連絡先情報が攻撃者の情報で置換されたため、標準的なチャネルでの回復は不可能になった。ブラックマーケットの Telegram グループが「アカウント乗っ取り」サービスを提供し始め、高価値なハンドルを利活用した。この脆弱性は数週間、あるいは数ヶ月間 Meta が修復するまで稼働していたと報告されており、その地下市場は一瞬で消え失せた。実験的な AI サポートグループに参加しているユーザーは、自動化されたアシスタンスを手動で無効化できないため、引き続き曝されている。この事象は、将来的な回復プロセスが人工知能や位置情報に基づく回避技術によって容易に操作されるのを防ぐためには、自動的なりすましおよびリモートスプーフィング攻撃に対するより強力な検証プロトコルの強化を強く示唆している。

2026/06/02 5:40

デバッグプロジェクト

## 日本語訳： Debug は、地球上で最も致命的な動物の一つである*Aedes aegypti*蚊の個体群を安全に抑制し、デング熱、ジカ熱、黄熱病、チクングニア熱といった致死性の疾患に対する革命的な対策を開拓しています。化学物質や遺伝子改変に依存する従来のアプローチとは異なり、当社の技術は自然存在する細菌*Wolbachia*を運ぶ雄性不稔の雌蚊を放出します。この生物は、これらの雄蚊が野生の雌蚊と繁殖することを妨げ、毒物を導入することなく個体群を自然に減少させます。吸血せず病気を媒介しない雄蚊であるため、「良い虫」としてこれを放出することは、立ち枯れた水の撤去や効果低下しつつ毒性が強まり過ぎる殺虫剤の使用といった陳腐な手法の持続可能な代替手段を提供します。現在、ほとんどの蚊媒感染症には効果的なワクチンがないことを考慮すると、この解決策は不可欠な新たなアプローチとなります。科学専門知識を国際パートナーと組み合わせ、Debug は地域コミュニティおよび政府との協力のもとで放出規模の拡大を目指しています。その最終的な影響は大きいです：刺す蚊の数を減らして病気の伝播率を下げ、安全でスケーラブルな生物学的制御戦略を通じて数百万人の人々がより長く健康な生活を送るのを支援します。 ## 元テキスト： ## Summary: Debug is pioneering a revolutionary method to combat deadly diseases like dengue, Zika, yellow fever, and chikungunya by safely suppressing populations of *Aedes aegypti* mosquitoes, which are among the deadliest animals on Earth. Unlike traditional approaches relying on chemicals or genetic modification, their technology releases sterile male mosquitoes carrying the natural bacterium *Wolbachia*. This organism prevents these males from reproducing with wild female counterparts, naturally causing population decline without introducing toxins. Since male mosquitoes do not bite or spread disease, releasing these "good bugs" offers a sustainable alternative to outdated methods like clearing standing water and using pesticides that are losing efficacy or becoming too toxic. Given that most mosquito-borne illnesses currently lack effective vaccines, this solution provides a vital new approach. By leveraging scientific expertise alongside international partners, Debug aims to scale up releases in collaboration with local communities and governments. The ultimate impact is significant: reducing biting mosquitoes to lower disease transmission rates, thereby helping millions of people live longer, healthier lives through a safe and scalable biological control strategy.

2026/06/02 1:41

スタンフォード大学CS336コース用 AI エージェントガイドライン

## 日本語翻訳: 本ドキュメントは、スタンフォード大学の CS336 コースにおいて AI コーディングアシスタントが従う厳格な倫理的境界線を設定する：すなわち、これらは何らかのコードを書いたり課題を直接解決したりしてはならない。むしろ、これらのエージェントは、学生による学習体験を維持することを目的とした教学補助手段としてのみ機能すべきである。本コースが手動作業としての Python と PyTorch の実装に大きく依存し、かつ支援枠組みが限られていることを考慮すると、AI の主たる役割は、公式の講義資料とデバッグツールの活用を通じて背後にある理論を説明し、エッジケースにおけるロジックを検証し、学生を導くことにある。ユーザーから直接の修正、TODO 節の完了、またはリポジトリへの編集といった要請を受けた場合、エージェントはその要求を拒否し、概念の説明や、shape アサーションやアブレーションなどの健全性チェックを提案することで方向転換しなければならない。この方針は、学生がトラン스포ーマー、最適化アルゴリズム、トレーニングループなど複雑なコンポーネントの習得という核心的学習目標を回避することを防止するものである。システムはこの方針を強制するためには、明確な質問を投げかけ、公式ドキュメントを参照し、単に「如何做るか」を届けるのではなく、技術的決定の背後にある「なぜか」を説明することで、デバッグと概念的理解を通じて真の能力を確保するよう求める。