最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- Axiosのnpmパッケージは、不正アクセスを受けたコントリビューターアカウントを通じて公開されました。.
- これらのパッケージには、インストールしたファイルを削除すると同時にペイロードを配信する能力を持つトロイの木馬が含まれていた。.
- 攻撃は3時間続き、ウォレットが漏洩した場合、潜在的な暗号資産の損失額は不明である。.
最も人気のあるJavaScriptライブラリの一つであるAxiosが、侵害され、暗号通貨ウォレット攻撃に関与している可能性がある。npmパッケージ攻撃はますます増加しており、プロジェクト、開発者、エンドユーザーを直接攻撃している。.
Axiosのnpmパッケージが公式JavaScriptライブラリに公開された後、わずか数時間後に非公開にされた。オンチェーンセキュリティの専門家がこの攻撃を阻止したが、攻撃は約3時間にわたって継続していた。.
@npmjs @GHSecurityLab に対してサプライチェーン攻撃が進行中で [email protected] 、本日公開された悪意のあるパッケージが取り込まれています – [email protected] – 誰かが Axios のメンテナーアカウントを乗っ取りました
— Maxwell (@mvxvvll) 2026年3月31日
npm パッケージは @jasonsaayman の認証情報を通じて侵害されましたdent研究者たちはアカウントが侵害された兆候を引き続き調べています。影響を受けたパッケージはdentとして特定され [email protected] と [email protected]。
ように Cryptopolitan 報じた 、npmへの攻撃はしばしば暗号通貨ウォレットを標的とし、特にチームメンバーが多額の資産を保有している分散型プロジェクトにとっては大きなリスクとなる。
Axios npm攻撃では何が起こったのか?
StepSecurityは 企業の1つですdent情報が侵害されたことにより、Axios HTTPクライアントライブラリの悪意のあるバージョンが2つ公開されdent、GitHub上の通常の公開パイプラインを迂回していました。
StepSecurityによると、これは広く利用されている上位10位以内のnpmパッケージに対する、これまでで最も高度な攻撃だった。悪意のあるパッケージバージョンは、axiosのソースコードにはインポートされていない新しい依存関係 [email protected]。この依存関係は、すべてのオペレーティングシステムでアクティブになるインストール後スクリプトを実行する。
npmを使用した後、クライアントはリモートアクセス型トロイの木馬ドロッパーに感染します。このドロッパーは稼働中のサーバーを持ち、ペイロードを配信します。 マルウェアは 検出を回避するために、自身を削除し、疑わしい.jsonファイルをクリーンなバージョンに置き換えます。
どのような種類のプロジェクトが影響を受けましたか?
npmパッケージは最も人気のあるパッケージの一つで、週間のダウンロード数は最大1億回に達しました。しかし、現時点では不正な仮想通貨の移動に関する報告はありません。過去には、npmへの攻撃によって、無名のトークンからわずか1,000ドルの仮想通貨が失われた事例がありました。.
悪意のあるnpmを制限する唯一の方法は、バージョンを trac、自動アップグレードを許可しないか、新しいバージョンをチェックして潜在的な悪意のあるアップロードがないか確認することです。.
今回は、週間のダウンロード数が3億回を誇る最も人気のあるHTTPクライアントライブラリであるnpm axiosに対する新たなサプライチェーン攻撃が発生しました。.
システムをスキャンしたところ、数日前に gmail/gcal cli を試していたときに googleworkspace/cli からインポートされた use が見つかりました。インストールされたバージョンは(幸運にも)… https://t.co/9DOVWH5KK1
— アンドレイ・カルパシー (@karpathy) 2026 年 3 月 31 日
研究者らは、同様の方法でペイロードを配信する2つの悪意のあるパッケージ(@shadanai/openclawと@qqbrowser/openclaw-qbot)も発見した。この攻撃は、LiteLLMによる悪意のあるコード注入からわずか1週間後に発生した。.
攻撃期間中、Web3やOpenClawプロジェクトが影響を受けたり、暗号通貨が盗まれたりしたという報告はありません。しかし、盗まれた認証情報や不正なパブリッシャーを通じて、npm攻撃が常態化する可能性があるという警告が出されました。この脅威は、dentを利用した悪意のあるコードに関する以前の警告に続くものです スキルプラットフォーム。
これらのパッケージはWeb3やボットプロジェクトに限らず、暗号通貨ウォレットに関連付けられたペイロードにも影響を与える可能性があります。Pythonのnpmおよびpipインストールに対する信頼の喪失は、ライブラリエコシステム全体の信頼を損なう可能性があり、より安全なアップロード経路を求める声が上がるでしょう。.
AIエージェントの使用は、無差別なパッケージダウンロードにつながり、脅威を拡散させる可能性もある。仮想通貨ウォレットへの実際の影響はすぐには現れないかもしれないが、ウォレットデータが漏洩する危険性は依然として存在する。.
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
クリスティーナ・ヴァシレヴァ
フリスティナ・ヴァシレヴァは、 DeFi、ビジネス、経済ニュースを専門としています。ソフィア大学で経営学、ジャーナリズム、マスコミュニケーションの学士号を4年間取得後、哲学の修士号を取得しました。国内有数の新聞社で、商品市場と企業業績を担当する記者として勤務した経験があります。現在は、 Cryptopolitanの寄稿記者を務めています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)