今朝のテーマは単純です。信頼された基盤が汚染されると、攻撃者に派手な技巧は要りません。
要点: 今朝すぐ注目すべき話は3つあります。SAPの公式npmパッケージが開発者とCIの秘密を盗むよう改ざんされ、cPanelとWHMが重大な認証バイパス向けの緊急パッチを公開し、Linuxメンテナーは新しい権限昇格バグCopy Failの修正を急いでいます。
Cloud Application Programming Model と Cloud MTA に関連する4つのSAP公式npmパッケージに、悪意あるpreinstallチェーンが仕込まれました。BleepingComputer、Aikido、Socket によれば、このペイロードは Bun を取得し、難読化された stealer を実行して、GitHubトークン、npmトークン、SSH鍵、クラウド認証情報、Kubernetesシークレット、CI/CD環境変数を探します。さらに悪いことに、runner のメモリを直接吸い出し、盗んだトークンで自己拡散を試みるとされています。
cPanel と WHM は CVE-2026-41940 向けの緊急更新を公開しました。これは深刻度 9.8 の認証バイパスで、最新のサポート版を除くほぼすべてのビルドに影響します。Namecheap はパッチ公開前に露出した管理ポートを一時遮断しており、ホスティング事業者がどれだけ深刻視していたかが分かります。cPanel が奪われればサイト、メール、DB、設定が取られ、WHM が奪われればサーバ全体とその全テナントが危険です。
The Register によると、新たな Copy Fail(CVE-2026-31431)は、非特権のローカルユーザーが任意の可読ファイルのページキャッシュに4バイトを書き込み、それを root 取得に変えられる脆弱性です。PoC は非常に小さく、従来のファイルイベント監視をすり抜けます。影響はラップトップにとどまりません。共有カーネルコンテナ、CI runner、マルチテナントLinuxホストこそ、初期侵入後にローカル権限昇格が本物の外部リスクになる場所です。
まずソフトウェアのサプライチェーンを確認し、次に露出したホスティング制御面を閉じ、その後で攻撃者がすでにコード実行できる場所の Linux 権限境界を修正してください。共通する失敗は、誰もが安全だと思い込んでいた基盤への盲信です。