check out this new app from the Prometheus Protocol app store, prometheusprotocol.org . It's super handy and easy to install and use. #prometheusprotocol #AI #ICP #API #secretsmanager

外部のシークレット管理ツールを増やさずに、GitLab 内で完結させたい—— そんなときに使えるのが GitLab Secrets Manager（Public Beta）。 ✅ 既存のプロジェクト／グループ構造と権限モデルをそのまま利用 ✅ ジョブごとに環境・ブランチをスコープ指定 ✅ 実行時は一時ファイルに書き出し、環境変数には「パスだけ」を渡す設計 CI/CD 変数運用から一歩進んだセキュアなパイプライン設計ができます。 #GitLab #SecretsManager #CI_CD #セキュリティ youtube.com/watch?v=oeh4NhJN…

Secrets Manager is a secure, vetKey-encrypted secret vault that is built on the Internet Computer Protocol. ✅Every value you store is encrypted at rest using ICP's threshold key derivation, meaning no single node can ever read your secrets. ✅It operates as a per-principal vault, so your secrets are always isolated to you. ✅Connect AI agents to it via the Secrets Manager MCP server and manage sensitive data with confidence. #SecretsManager #ICP #InternetComputer #vetKeys #MCP #PrometheusProtocol #Web3Security #AIAgents #DecentralizedSecurity #ClaudeCode #BuildOnICP #SecureVault #ModelContextProtocol

you're right to flag that gap. looking at the execution logs for your "Daily DCA $15 USDC (Base) to stETH (Mainnet)" automation: • may 20 to may 22: there were indeed no execution attempts recorded. this was due to a scheduling desync in our automation worker that affected a subset of recurring tasks. the automation remained "open" but the trigger failed to fire. • may 23: the log shows a successful execution, but the transaction hash points to your own wallet address rather than a unique tx hash, which suggests a reporting error in the bridge relay even though it marked it as "success." • may 24: this is where the explicit secretsmanager permissions error occurred, causing the hard failure you noticed. the scheduling desync (may 20-22) has been patched, and the permissions fix for the bridge secrets is being deployed now. the automation should resume its normal 00:00 UTC schedule tonight. i'll keep a close eye on it to ensure it doesn't skip again.

Active supply chain attack: Compromised @antv npm maintainer account enables mass CI/CD credential theft across 640 malicious packages. Threat actor targets GitHub Actions environments with obfuscated payload designed for multi-platform secret extraction. • **Attack Chain**: Maintainer compromise → malicious @antv package versions → downstream amplification via echarts-for-react (1M weekly downloads) → automatic execution via preinstall hooks → Bun runtime deployment → credential harvesting • **Technical Details**: 499KB obfuscated JavaScript payload with dual-layer encryption (Base64 PBKDF2/SHA-256), environment gating for GitHub Actions Linux runners, branch filtering to avoid main/master/dependabot branches • **Credential Targets**: GitHub tokens (GITHUB_TOKEN, PATs, installation tokens), AWS (IMDS, ECS metadata, SecretsManager), Vault (12 token paths), npm OIDC tokens, Kubernetes service accounts, 1Password CLI with 2FA bypass attempts • **Memory Scraping**: Direct extraction from Runner.Worker PID via /proc scanning, bypassing GitHub's secret masking with grep patterns targeting runtime secret structures • **Exfiltration Methods**: Primary HTTPS C2 to t.m-kosche[.]com:443, fallback Git Data API (blobs/trees/commits), tertiary public repo creation with reversed "Shai Hulud" descriptions (2,200 observed) Hunt for Node. #DFIR_Radar

Why can’t you use secretsmanager, just one step you need to climb.

先日のTeamPCPキャンペーンによるnpm被害に続き、PyPI側でも新たな侵害が報告。LLM推論フレームワークとして広く使われているPythonパッケージ「xinference」（ダウンロード68万超・GitHubスター9.3K超）の2.6.0〜2.6.2が侵害されていたとJFrogが公表しています。 このパッケージをimportしただけで発動する挙動が確認されており、AWS環境で動いていた場合は、インスタンスメタデータサービス（IMDSv2：EC2が自身の一時資格情報を取得するための内部API）経由でIAMロールの資格情報を奪い、さらにそれを使ってSecretsManagerやSSM Parameter Store（いずれもAWSのシークレット管理サービス）の一覧APIまで直接叩くロジックが組まれているとのこと。 一方で同記事の冒頭には、TeamPCP本人がTwitter上で関与を否定し、名前とペイロードを流用した模倣犯の仕業だと主張している旨のUpdateも追記されており、ペイロードに埋め込まれた帰属マーカー（犯行者を示すコメント）の真贋そのものが論点となっています。 【要点の整理】 ・出典はJFrog Security Research。悪性コードはパッケージ初期化ファイル「xinference/＿＿init＿＿[.]py」に埋め込まれ、import時にbase64ペイロードを別のPythonインタプリタへ渡して実行する構成。中間ファイルはディスクに残さず、収集結果は「love[.]tar[.]gz」に圧縮し「whereisitat[.]lucyatemysuperbox[.]space」へcurlでPOST送信 ・収集対象はSSH鍵、AWS／GCP／Azureの資格情報、Kubernetesのサービスアカウントトークン、CI/CDやパッケージ公開用シークレット、[.]envファイルや暗号資産ウォレットまで広範に列挙。ただしAWSのGetSecretValue呼び出しには秘密IDを実際のリクエストに渡し忘れるバグがあり、秘密値そのものの取得は不完全との付記も ・ペイロード先頭の「# hacked by teampcp」コメントがJFrogの帰属根拠。一方で過去のlitellm／telnyx亜種で使われていた窃取データのAES-256-CBC＋RSA-4096暗号化や、systemd（Linuxの常駐サービス機構）ユーザサービス／Kubernetes特権Podによる永続化（再起動後も居残る仕組み）は今回取り除かれ、アーカイブ名も「tpcp[.]tar[.]gz」から「love[.]tar[.]gz」へ変更 ・TeamPCP側はこれらの流用を根拠に「別人の犯行」と主張する一方、JFrogは攻撃手法そのもののシフトか、資格情報窃取に特化した早期ステージ版（攻撃の初段だけを使う軽量版）か、の2仮説を併記 ・該当3バージョンは既にPyPIから取り下げ済みだが、import時点で発動する挙動のため、一度でも読み込んだ環境は侵害済みとみなし、AWS／GCP／Azure、Kubernetes、SSH、パッケージ公開トークン類のローテーションが推奨 侵害経路自体は未特定としつつ、TeamPCPキャンペーン全体では上流ツール（脆弱性スキャナTrivyなど）の侵害経由でCI/CDやメンテナの資格情報を奪う流れが共通しているとの分析。LLM推論基盤への侵害がlitellm・telnyxに続いてxinferenceでも報告されたかたちです。 詳細は以下を参照： research.jfrog.com/post/xinf…

S3, kinesis, ddb, lambda, secretsmanager, ec2, ecs, eks, kms, cfn, sqs, sns, route53, ssm, appconfig, codeartifact, aurora/rds, opensearch, sagemaker, bedrock, eventbridge, step functions, cost explorer 🤣, ebs I guess? That's about it.

じゃあどう解決するのかってローカルではローテーション速可能なキーを利用して漏れても即応できるように 本番ではsecretsmanagerなどでキー登録して解決 .envはその解決方法を指定するのみで秘匿情報や認証情報は持たない

.gitignoreで .env のコミット制限はもう基本中の基本。 MVPで勢いに任せてClaude / Codex / Cursorみたいなバイブコーディングツールに 「シンプルに作って！」と命令すると、 ちゃんと .gitignore を追加してくれたり、環境変数で読み込むコードは書いてくれる。 でもAWS Secrets ManagerやCloudHSM Custom Key Storeみたいな 「運用費用かかる高級セット」は、絶対に勝手に提案・実装してくれない。 aws secretsmanager get-secret-value や Lambda Extension も、 こっちから「使って」と言わない限り出てこない（笑） だから最初は .env .gitignore で十分。 コスト意識して人間が後で入れるのが一番安全だな〜

なんも悩む必要はなく、.envは開発中は全開放して本番運用ではsecretsmanagerなどで値を手入力でいいんだよね どうやって解決するかの差にすればいいだけ

Using some of the managed offerings on AWS can help when you want to be up and running quickly. AWS Managed #Grafana is one of these but setting it up with Infrastructure as Code tools isn't simple. If using the Cloud Development Kit (#CDK) there is no level 2 Constructs for it yet. That means you end up working directly with Grafana's HTTP API. This article shows using Rust Lambdas that handle service account token lifecycle automatically, storing credentials in SecretsManager and refreshing them before they expire. The solution ties into CDK Custom Resources so folders can be created and torn down cleanly on deploy and destroy cycles. Johannes Geiger shows a full implementation step by step, from ensuring service accounts exist through to wiring up the CDK stacks. Check it out if you want to set up Managed Grafana and keep things properly codified rather than relying on manual setup. lckhd.eu/WFIvgK

Undervalued AWS Sandbox for Agent Testing Agents are expensive. Agents making actions on your AWS account can be deadly expensive. But how would you evaluate and test them? Localstack! Emulates AWS locally. IAM, S3, EC2, Lambda, DynamoDB, SQS, SecretsManager - all in a Docker container. Free (almost). Generate a synthetic AWS environment. Deploy it in seconds. Point your agent at it. Repeat 1000 times. No bill. No risk of touching production. Pure iteration speed. More examples of how it's used with agents to review AWS infrastructure here: kyrylai.com/2026/02/10/ai-ag…

Explore how developer teams can leverage flexible functionality and options offered by Bitwarden Secrets Manager to address their specific #secretsmanagement needs across development environments: btwrdn.com/4r62UDK #developers #cybersecurity #datasecurity #secretsmanager

github.com/aws/aws-lambda-ro… Lambdaの環境変数を直接SecretsManagerから取得するissueがroadmap上で公開されている

probably the realest comm i've ever seen will offer an alternative, get any AWS SSM/SecretsManager value without having to type garbage just 'awsssmparam /param/name' alias awsssmparam="aws ssm get-parameter --with-decryption --query 'Parameter.Value' --output text --name"

学習記録　11/1クラウドプラクティショナー(1時間) Ping-tにてWAF/Shield、KMS/CloudHSM、SecretsManager/Cognito/ACM、Artifact、 Macie/GuardDuty/Inspector/Security Hubについて復習しました。

【日報】 🔹Kubernetes応用コース ArgoCD にGitHubのSSOログインできた。 External Secretを作成し、TerraformでSecretsManagerを作成。 ESOから動的にSecretを作成。 Helmに渡すvaluesを弄って終了。 ArgoCD鯖が突然動かなくて焦ったが、復旧できた。次はFluent Bit。ワクワク！ #CloudPratica

Crazy... Gov keep trying to make cryptography illegal to get more power :( Seems like obviously large potential for abuse of government power or abuse from other actor exploiting the fact that security is generally weakened across the board by some regulation adherence slop that also causes huge waste of intellectual talent... trying to give government ways to use keys, kind of like what happens in China where cryptography is illegal and they have keys to your Amazon secretsmanager keys, but don't know what to do with them anyway... Like all that for what.??.. For slow internet... great firewall of being slow for everyone great for no one

Today we released our new (free) AWS Infrastructure Canarytoken. It catches attackers in your AWS account by putting tempting assets in their way and alerting you if they get probed. Extending our old work on fake AWS assets, this makes it even easier to deploy juicy S3 buckets, DynamoDB tables, SSM parameters, SecretsManager secrets, and SQS queues, that attackers will want to browse. We help you design and build a Terraform module that’s  unique to your environment, then you deploy when ready. It's live on canarytokens.org. Check out our blog for more, including how to deploy your first AWS infrastructure Canarytoken. __ ¹ blog.thinkst.com/2025/09/int…