ハッカーは、世界中で数十億回ダウンロードされた広く使用されているJavaScriptライブラリを標的にした大規模なサプライチェーン攻撃を仕掛けました。この事件は、数千の暗号プロジェクトや数百万の開発者ワークステーションを危険にさらす可能性がありました。しかし、攻撃者は笑えるほど少額の暗号、すなわち50ドル未満を手に入れただけでした。
暗号通貨界を揺るがす可能性のあった攻撃 Security Allianceの調査によると、ハッカーはNPMパッケージを管理している開発者のアカウントにアクセスし、特にEthereumとSolanaの暗号ウォレットを狙った人気のライブラリにマルウェアを挿入しました。 NPMは開発者にとってアプリストアのような役割を果たします。つまり、JavaScriptプロジェクトで使用される小さなコードユーティリティの中央リポジトリです。侵害されたパッケージには、chalk、strip-ansi、color-convertが含まれており、これらは依存関係ツリーに深く埋め込まれています。直接インストールしたことがない開発者でさえ、これらにさらされる可能性がありました。
ダメージ: 現在50ドル未満 セキュリティ研究者は、単一の悪意のあるEthereumウォレットアドレス0xFc4a48を特定しました。これまでのところ、そのアドレスは約50ドル相当の暗号を集めただけです。数時間前、金額はわずか5セントであり、総損失がわずかに増加する可能性があることを示唆しています。 「想像してみてください:あなたは、毎週20億以上のダウンロードがあるNPM開発者アカウントを侵害します。これにより、数百万の開発者マシンへの無限のアクセスを得ることができます。無限の富が待っています。そして、あなたは50ドル未満を稼ぎます。」とセキュリティアライアンスはXに書きました。 SEALのセキュリティ研究者であるSamczsunは、この攻撃をフォートノックスの鍵を見つけてそれをブックマークとして使うことに例えました。「マルウェアは広範囲にわたっていましたが、現時点ではほぼ完全に無力化されています。」
何が盗まれたのか? Etherscanによると、その悪意のあるウォレットは以下の少額を受け取っています: イーサリアム (ETH) – 最初はほんの数セント ブレット (BRETT) アンディ (ANDY) ダークロード (DORK) エーテルビスタ (VISTA) ゴンドラ (GONDOLA) 合計で、その価値は50ドルを超えません。
誰が安全で誰が安全でないのか? 攻撃は、取引中にウォレットアドレスを静かに置き換えるように設計されたクリプトクリッパーマルウェアを展開しました。これは、ユーザーが盗難が発生するために悪意のある取引を承認しなければならないことを意味します。 幸運なことに、主要な暗号財布プロバイダーはすぐにユーザーを安心させました: LedgerとMetaMaskは、複数のセキュリティレイヤーを挙げて、アプリが影響を受けていないことを確認しました。Phantom Walletは、脆弱なパッケージを使用していないと述べました。Uniswapは、そのアプリケーションに影響がないと報告しました。他の影響を受けなかったプラットフォームには、Aerodrome、Blast、Blockstream Jade、Revoke.cashが含まれます。 匿名のDefiLlama創設者0xngmiによると、悪意のあるパッケージが公開された後に更新されたプロジェクトのみがリスクにさらされる可能性がある。
ユーザーへのアドバイス レジャーのCTO、シャルル・ギレメが含まれる専門家たちは、暗号通貨ユーザーに対し、オンチェーン取引の承認時に特に注意するよう呼びかけました。一部の専門家は、開発者が侵害されたパッケージを完全に削除するまで、暗号通貨ウェブサイトを一時的に避けることを提案しました。
結論 NPMのハッキングは、ソフトウェアサプライチェーンがどれほど脆弱であるかを浮き彫りにしました – たとえ妥協されたコードを直接使用していないプロジェクトであってもです。皮肉なことに、それは暗号の歴史の中で最も利益の少ないハッキングの一つとなりました。潜在的な損失は天文学的なものになる可能性がありましたが、攻撃者はわずか数十ドルを得ただけでした。
#CyberSecurity , #ハッカー, #Cryptoscam , #サイバーセキュリティ, #CryptoNews
一歩先を行こう – 私たちのプロフィールをフォローして、暗号通貨の世界で重要なすべての情報を把握しましょう! 告知: ,,この記事に示された情報と見解は、教育目的のみに使用されるものであり、いかなる状況においても投資アドバイスとして受け取るべきではありません。これらのページの内容は、金融、投資、またはその他の形式のアドバイスと見なされるべきではありません。暗号通貨への投資はリスクを伴う可能性があり、財務上の損失を引き起こす可能性があることに注意してください。“
13k 人気度
18k 人気度
33k 人気度
36k 人気度
暗号史上最大のNPM攻撃で盗まれたのは50ドル未満
ハッカーは、世界中で数十億回ダウンロードされた広く使用されているJavaScriptライブラリを標的にした大規模なサプライチェーン攻撃を仕掛けました。この事件は、数千の暗号プロジェクトや数百万の開発者ワークステーションを危険にさらす可能性がありました。しかし、攻撃者は笑えるほど少額の暗号、すなわち50ドル未満を手に入れただけでした。
暗号通貨界を揺るがす可能性のあった攻撃 Security Allianceの調査によると、ハッカーはNPMパッケージを管理している開発者のアカウントにアクセスし、特にEthereumとSolanaの暗号ウォレットを狙った人気のライブラリにマルウェアを挿入しました。 NPMは開発者にとってアプリストアのような役割を果たします。つまり、JavaScriptプロジェクトで使用される小さなコードユーティリティの中央リポジトリです。侵害されたパッケージには、chalk、strip-ansi、color-convertが含まれており、これらは依存関係ツリーに深く埋め込まれています。直接インストールしたことがない開発者でさえ、これらにさらされる可能性がありました。
ダメージ: 現在50ドル未満 セキュリティ研究者は、単一の悪意のあるEthereumウォレットアドレス0xFc4a48を特定しました。これまでのところ、そのアドレスは約50ドル相当の暗号を集めただけです。数時間前、金額はわずか5セントであり、総損失がわずかに増加する可能性があることを示唆しています。 「想像してみてください:あなたは、毎週20億以上のダウンロードがあるNPM開発者アカウントを侵害します。これにより、数百万の開発者マシンへの無限のアクセスを得ることができます。無限の富が待っています。そして、あなたは50ドル未満を稼ぎます。」とセキュリティアライアンスはXに書きました。 SEALのセキュリティ研究者であるSamczsunは、この攻撃をフォートノックスの鍵を見つけてそれをブックマークとして使うことに例えました。「マルウェアは広範囲にわたっていましたが、現時点ではほぼ完全に無力化されています。」
何が盗まれたのか? Etherscanによると、その悪意のあるウォレットは以下の少額を受け取っています: イーサリアム (ETH) – 最初はほんの数セント ブレット (BRETT) アンディ (ANDY) ダークロード (DORK) エーテルビスタ (VISTA) ゴンドラ (GONDOLA) 合計で、その価値は50ドルを超えません。
誰が安全で誰が安全でないのか? 攻撃は、取引中にウォレットアドレスを静かに置き換えるように設計されたクリプトクリッパーマルウェアを展開しました。これは、ユーザーが盗難が発生するために悪意のある取引を承認しなければならないことを意味します。 幸運なことに、主要な暗号財布プロバイダーはすぐにユーザーを安心させました: LedgerとMetaMaskは、複数のセキュリティレイヤーを挙げて、アプリが影響を受けていないことを確認しました。Phantom Walletは、脆弱なパッケージを使用していないと述べました。Uniswapは、そのアプリケーションに影響がないと報告しました。他の影響を受けなかったプラットフォームには、Aerodrome、Blast、Blockstream Jade、Revoke.cashが含まれます。 匿名のDefiLlama創設者0xngmiによると、悪意のあるパッケージが公開された後に更新されたプロジェクトのみがリスクにさらされる可能性がある。
ユーザーへのアドバイス レジャーのCTO、シャルル・ギレメが含まれる専門家たちは、暗号通貨ユーザーに対し、オンチェーン取引の承認時に特に注意するよう呼びかけました。一部の専門家は、開発者が侵害されたパッケージを完全に削除するまで、暗号通貨ウェブサイトを一時的に避けることを提案しました。
結論 NPMのハッキングは、ソフトウェアサプライチェーンがどれほど脆弱であるかを浮き彫りにしました – たとえ妥協されたコードを直接使用していないプロジェクトであってもです。皮肉なことに、それは暗号の歴史の中で最も利益の少ないハッキングの一つとなりました。潜在的な損失は天文学的なものになる可能性がありましたが、攻撃者はわずか数十ドルを得ただけでした。
#CyberSecurity , #ハッカー, #Cryptoscam , #サイバーセキュリティ, #CryptoNews
一歩先を行こう – 私たちのプロフィールをフォローして、暗号通貨の世界で重要なすべての情報を把握しましょう! 告知: ,,この記事に示された情報と見解は、教育目的のみに使用されるものであり、いかなる状況においても投資アドバイスとして受け取るべきではありません。これらのページの内容は、金融、投資、またはその他の形式のアドバイスと見なされるべきではありません。暗号通貨への投資はリスクを伴う可能性があり、財務上の損失を引き起こす可能性があることに注意してください。“