トレンドトピック
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
2017年以降の暗号通貨|⭕rdinals|銘文#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
逃げ出せ n8n また10.0の評価のバグです
N8nは、自動取引や注文の配置、価格や決済状況の監視、ウォレットや取引所のウェブフック処理、資産変更通知、CEX/DEX APIの接続、秘密鍵やAPIキーの管理、操作やアラームの自動化などに一般的に使用されています。
このCVSS 10.0の脆弱性は単一の機能に影響を及ぼすのではなく、制御層全体に影響を及ぼします。
ログインせずにn8nを乗っ取ったり、APIキーや秘密鍵を読み取ったり、自動処理を改変したり、悪意のある転送やトランザクションロジックを挿入したり、さらには高権限の部署でサーバー全体を乗っ取ったりします。
昨日投稿したよりも容赦ない。
サーバーが端にある可能性もあります。
-
すでに誰かが当選しているので、すぐにn8nをアップグレードし、その後、セキュリティを確保するために指定された秘密鍵APIを置き換えてください。
以下に記載したGitHub上の関連脆弱性:
これはCVE-2026-21858と旧CVE-2025-68613から構成された完全な攻撃です
628
この市場では、このトラフィックは誰もがまだ資金の安全性を非常に気にしていることを示しています!
現在、個人版ではVMware Workstation Proが無料で使用可能となり、WindowsやMacで直接簡単に使えます。
以前の「WindowsインストールのIOSファイルはMicrosoftからダウンロードしてください。他人のパッケージを使うと別のリスクと同等です」について話しましょう。
Linuxの場合は公式のUbuntuディストリビューションをダウンロードすれば、パッケージ自体に問題はありません。
「リポジトリを開くと事故が起きる」と賭けたくない場合は、ローカルマシンで直接開くのではなくVMwareでリポジトリを開くのが一番安全です。
簡単な手順は以下の通りです。
- ステップ1:VMwareまたはVirtualBoxをインストールする
VMware Workstation Proはローカルでインストール可能です)、ただしVMを動かせる限りです。
- ステップ2:VMにシステムをインストールする
VMwareでクリーンなオペレーティングシステム(WindowsやLinuxで問題ありません)を作成しましょう。
このVMは「不信コードを見る」ためだけに使われており、プライベートアカウントにはログインしないでください。
- ステップ3:ネットワークをブリッジしない
NAT付きVMネットワークモード、
VMが直接イントラネットに侵入するのを防ぐためにBridgedは使わないでください。
- ステップ4:ローカルハードドライブをマウントしない
ローカルのドキュメント、デスクトップ、ホームのディレクトリをVMにアタッチしないでください。
そうでなければ、秘密鍵とSSH鍵を直接送信するのと同等です。
- ステップ5 VMに開発ツールをインストールする
VS Code、Node、GitはすべてVMにインストールされています。
また、リポジトリはVM上でクローンのみです。
- 最後に、VMでリポジトリを開きます
その後は、信頼できないリポジトリは常にクローンされ、IDEを開き、VM内のコードを読み書きます。
たとえIDEが自動的に何かを行っても、その影響はVM内にとどまります。
--
ステップ5で環境をインストールした後、スナップショットを実行してスナップショットを取得でき、システムに問題があれば直接復元できます。
とにかく、VMは非常にシンプルで、以前のAIエージェントがシステムディレクトリ全体を切り捨てた場合でも、VMを使って分離して特別に開発したVMを構築することもできます。
参考までに。
1月9日 16:57
1年を過ぎて転職する皆さん、
最近、いくつかのスレッド投稿を見かけました。
誰かがリモートでリポをクローンしたのですが、手動でクローンせずに行いました
IDE(VS code / カーソル)を使ってソースコードを確認してください
コンピュータの秘密鍵が漏洩しました。
--
攻撃の原則についても、多くの人が誤解していました。
今日のIDE(VS Code、Cursor、WebStorm)は、単なる「コードを読む」ためのツール以上の存在でした。
リポジトリを開くとすぐに、IDEは自動的にNode.jsを使ってプロジェクト内の設定ファイルを読み込み、ESLint、Prettier、TypeScript型解析、フレームワーク検出(Next.js / Vite / React)をサポートします。
例えば、eslint.config.js、prettier.config.js、next.config.js、vite.config.js、これらは設定ファイルのように見え、基本的にはすべて「実行可能なJavaScript」です。
攻撃者はこれらのプロファイルに悪意のあるコードを隠しています。
npmを実行させず、ノードindex.jsも使いません。
しかし、IDEはすでにそれを代わりに行ってくれています。
一度実行されると、「ユーザー権限」の下で秘密鍵、SSHキー、設定ファイルをコンピュータ内で読み取り、データを送信するなど多くのことができます。このプロセス全体でウィンドウが飛び越えたり、気づかれたりすることはありません。
だからこそ、この奇妙に聞こえる状況が起こるのです:
私はただのクローンリポジトリです
私はただIDEを開いてソースコードを見るだけです
しかし、コンピュータ内の秘密鍵は消えています
あなたが滑りにくいとか、情報セキュリティに気づいていないわけでもありません。
代わりに、現代のフロントエンドツールチェーン自体が「自動的にプロジェクトコードを実行」します。
--
基本的に、オープンソースのコードを渡されたら、私は普段は気を緩めてAIでスキャンしますが、VSコードを開いても入札に勝つQ_Q
「信頼できないプロジェクト」を開くための隔離環境を準備します
最も安定しているのはVMで、次いでDocker + VS Code Remoteです。
Node.js、ESLint、Prettier、フレームワークスキャンはすべて孤立した環境で動作させ、問題があっても影響は固定されます。
Windowsの内蔵サンドボックスも隔離された環境ですが、オフにして再インストールすると必ずクリアされます。
VMを使う方がはるかに便利で、再利用でき環境を完全に隔離できますが、ネットワークを直接ブリッジしてローカルハードドライブをマウントするのは、バックドアを開けるのと同じようなものではないように注意が必要ですQ_Q
533
トップ
ランキング
お気に入り