2026年3月27日、通信プラットフォーム Telnyx の PyPI パッケージが侵害されました。攻撃者は PyPI のメンテナアカウントを乗っ取り、マルウェアを含むバージョン 4.87.1 および 4.87.2 を公開しました。本記事では公開情報をもとに、事象の概要を記録します。また、対応指針を示します。

2026年3月24日、LLMプロキシライブラリ LiteLLM の PyPI パッケージが侵害されました。 攻撃者は PyPI のメンテナアカウント（krrishdholakia）を乗っ取り、クレデンシャル窃取・Kubernetes 対象のラテラル・永続化マルウェアを含むバージョン 1.82.7 および 1.82.8 を公開しました。

2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。

米内（@lmt_swallow）です。もう 2024 年になってしまいましたが、2023 年もっとも好きだった 1 曲として、JJJ のアルバム『MAKTUB』収録曲『心 feat. OMSB』について書いてみます。

2023 年が終わるので、色々振り返る。2019 年・2020 年・2021 年 の振り返りがあって 2022 年は未執筆なのに気がついたので、若干そこにも触れておく。

はじめまして、 Flatt Security の @lmt_swallow と申します！ 本記事は pmconf 主催の プロダクトマネージャー Advent Calendar 2023 の 2 日目の記事です。 1 日目は 『プロダクトマネジメント人生を歩む』（うなぎごた | @go-go-pdm さん）でした。

International Cybersecurity Challenge (ICC) のアジア予選であるところの Asian Cyber Security Challenge (ACSC) 2023 に出ました。Writeup 書いておきます。

お久しぶりです。最近セキュリティ・キャンプ全国大会 2022 オンラインという合宿イベントの中の、1 つのクラス（Web セキュリティクラス）の †プロデューサー† をしたのですが、思い出せる範囲で、このクラスに関する種々の記録を残しておこうという気分になりました。推敲は特にしないままで公開するので、誤字脱字やぶち壊れた論理などにはご容赦ください。

2021 年の反省と、2022 年の抱負についてラフに書きます。

TSG CTF 2021 was held from October 3rd - October 4th, and my challenge (“udon”) was on the contest. To speak frankly, the challenge was: “Can you steal another user’s secrets using a vulnerability that allows you to inject just a single HTTP response header?”