Slow Fogは、プレーンな-crypto-jsマルウェアを取り込む悪意のあるaxiosリリースをフラグ付けし、暗号開発者がクロスプラットフォームRATおよび盗まれた認証情報にさらされることを警告しています。npm経由。概要* Slow Fogは、メンテナアカウントの侵害の後、[email protected]と[email protected]を悪意のあるものとしてフラグ付けしました。* 注入された[email protected]パッケージが、postinstallスクリプトを介してクロスプラットフォームのリモートアクセス型トロイの木馬を投下します。* [email protected]を利用する開発者には、認証情報のローテーションとホストの調査を行うよう促されており、npmはaxiosを1.14.0にロールバックしています。ブロックチェーンセキュリティ企業Slow Fogは、新たに公開された[email protected]および[email protected]のリリースが悪意のある依存関係[email protected]を取り込み、JavaScriptで最も広く使われているHTTPクライアントの1つを暗号開発者へのサプライチェーン攻撃の武器に変えたことを受け、緊急のセキュリティリマインダーを発行しました。Axiosはnpmで週に80 million以上のダウンロードがあり、短期間の侵害でもウォレットのバックエンド、トレーディングボット、取引所、Node.js上に構築されたDeFiインフラ全体へ波及し得ます。告知の中でSlow Fogは、「npm install -gで[email protected]をインストールしたユーザーは、潜在的にさらされている可能性がある」とし、直ちの認証情報ローテーションと、侵害の兆候がないかについてホスト側で徹底的な調査を勧めました。攻撃は、偽の暗号化パッケージである[email protected]に依存しています。これは、新しい依存関係としてこっそり追加され、Windows、macOS、Linuxシステムを標的とするクロスプラットフォームのリモートアクセス型トロイの木馬を投下するためだけに、難読化されたpostinstallスクリプトの実行に使われます。 セキュリティ企業StepSecurityは、「悪意のあるバージョンはいずれも、Axios自体の中に単一の行の悪意あるコードを含んでいない」と説明し、その代わりに「どちらも偽の依存関係である[email protected]を注入しており、その唯一の目的は、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)をデプロイするpostinstallスクリプトを実行することだ」と述べました。Socketの調査チームは、不正なplain-crypto-jsパッケージが、侵害されたaxiosリリースのほんの数分前に公開されたことを指摘し、JavaScriptエコシステムに対する「連携したサプライチェーン攻撃」だとしました。# AxiosメンテナーアカウントがハイジャックStepSecurityによれば、悪意のあるaxiosリリースは、主要メンテナー「jasonsaayman」が保有していた盗まれたnpm認証情報を使って投入され、攻撃者はプロジェクトの通常のGitHubベースのリリースフローを回避できたといいます。LinkedInでセキュリティエンジニアのJulian Harrisは、「これは[email protected]における進行中のサプライチェーン侵害であり、新たに[email protected]に依存するようになりました――これは数時間前に公開されたパッケージで、難読化されたマルウェアとして特定されており、シェルコマンドを実行し、痕跡を消し去ります」と書きました。npmは現在、悪意のあるバージョンを削除し、axiosの解決を1.14.0に戻しましたが、攻撃期間中に1.14.1または0.3.4を取り込んだいかなる環境も、秘密鍵(シークレット)がローテーションされ、システムが再構築されるまでリスクが残ります。この侵害は、暗号ユーザーを直接狙った先行するnpmのインシデントとも符合します。たとえば2025年のキャンペーンでは、chalkやdebugのような18の人気パッケージが、ウォレットアドレスをこっそり入れ替えて資金を盗みました。その結果、LedgerのCTOであるCharles Guillemetは、「影響を受けたパッケージはすでに10億回以上ダウンロードされています」と警告しています。研究者たちはまた、Ethereum、XRP、Solanaのウォレットから鍵を盗むnpmマルウェアについても文書化しており、SlowMistは、暗号のハッキングと不正行為――バックドア付きパッケージやAI支援のサプライチェーン攻撃を含む――が、2025年上半期だけで損失が23億ドル超に達したと推定しています。現時点でSlow Fogの助言は明快です。axiosを1.14.0へダウングレードし、依存関係を監査して[email protected]またはopenclawの痕跡がないか確認し、これらの環境で触れた認証情報はすべて侵害されたものだと仮定してください。# 以前のソフトウェア・サプライチェーンに関する警告crypto.newsの以前の記事で、JavaScriptのサプライチェーン攻撃について触れた際、LedgerのGuillemetは、週のダウンロードが20億回を超える改ざんされたnpmパッケージが、Node.js上に構築されたdAppやウォレットに対してシステム的なリスクをもたらすと警告していました。別の記事では、北朝鮮のLazarus Groupが、悪意のあるnpmパッケージを仕込み、開発者環境にバックドアを作ってSolanaおよびExodusウォレットのユーザーを標的にした方法が詳述されました。さらに3つ目のcrypto.newsの記事では、次世代マルウェアとして、npmおよび低コストのAIツールを介したバックドア型サプライチェーン攻撃が、犯罪者の遠隔での4,200台超の開発者マシンの制御を可能にし、暗号損失が数十億ドル規模に寄与したことが示されました。
Slow Fogは、悪意のあるaxiosマルウェアキャンペーンについてデベロッパー(devs)に警告
Slow Fogは、プレーンな-crypto-jsマルウェアを取り込む悪意のあるaxiosリリースをフラグ付けし、暗号開発者がクロスプラットフォームRATおよび盗まれた認証情報にさらされることを警告しています。npm経由。
概要
ブロックチェーンセキュリティ企業Slow Fogは、新たに公開された[email protected]および[email protected]のリリースが悪意のある依存関係[email protected]を取り込み、JavaScriptで最も広く使われているHTTPクライアントの1つを暗号開発者へのサプライチェーン攻撃の武器に変えたことを受け、緊急のセキュリティリマインダーを発行しました。Axiosはnpmで週に80 million以上のダウンロードがあり、短期間の侵害でもウォレットのバックエンド、トレーディングボット、取引所、Node.js上に構築されたDeFiインフラ全体へ波及し得ます。告知の中でSlow Fogは、「npm install -gで[email protected]をインストールしたユーザーは、潜在的にさらされている可能性がある」とし、直ちの認証情報ローテーションと、侵害の兆候がないかについてホスト側で徹底的な調査を勧めました。
攻撃は、偽の暗号化パッケージである[email protected]に依存しています。これは、新しい依存関係としてこっそり追加され、Windows、macOS、Linuxシステムを標的とするクロスプラットフォームのリモートアクセス型トロイの木馬を投下するためだけに、難読化されたpostinstallスクリプトの実行に使われます。
セキュリティ企業StepSecurityは、「悪意のあるバージョンはいずれも、Axios自体の中に単一の行の悪意あるコードを含んでいない」と説明し、その代わりに「どちらも偽の依存関係である[email protected]を注入しており、その唯一の目的は、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)をデプロイするpostinstallスクリプトを実行することだ」と述べました。Socketの調査チームは、不正なplain-crypto-jsパッケージが、侵害されたaxiosリリースのほんの数分前に公開されたことを指摘し、JavaScriptエコシステムに対する「連携したサプライチェーン攻撃」だとしました。
Axiosメンテナーアカウントがハイジャック
StepSecurityによれば、悪意のあるaxiosリリースは、主要メンテナー「jasonsaayman」が保有していた盗まれたnpm認証情報を使って投入され、攻撃者はプロジェクトの通常のGitHubベースのリリースフローを回避できたといいます。LinkedInでセキュリティエンジニアのJulian Harrisは、「これは[email protected]における進行中のサプライチェーン侵害であり、新たに[email protected]に依存するようになりました――これは数時間前に公開されたパッケージで、難読化されたマルウェアとして特定されており、シェルコマンドを実行し、痕跡を消し去ります」と書きました。npmは現在、悪意のあるバージョンを削除し、axiosの解決を1.14.0に戻しましたが、攻撃期間中に1.14.1または0.3.4を取り込んだいかなる環境も、秘密鍵(シークレット)がローテーションされ、システムが再構築されるまでリスクが残ります。
この侵害は、暗号ユーザーを直接狙った先行するnpmのインシデントとも符合します。たとえば2025年のキャンペーンでは、chalkやdebugのような18の人気パッケージが、ウォレットアドレスをこっそり入れ替えて資金を盗みました。その結果、LedgerのCTOであるCharles Guillemetは、「影響を受けたパッケージはすでに10億回以上ダウンロードされています」と警告しています。研究者たちはまた、Ethereum、XRP、Solanaのウォレットから鍵を盗むnpmマルウェアについても文書化しており、SlowMistは、暗号のハッキングと不正行為――バックドア付きパッケージやAI支援のサプライチェーン攻撃を含む――が、2025年上半期だけで損失が23億ドル超に達したと推定しています。現時点でSlow Fogの助言は明快です。axiosを1.14.0へダウングレードし、依存関係を監査して[email protected]またはopenclawの痕跡がないか確認し、これらの環境で触れた認証情報はすべて侵害されたものだと仮定してください。
以前のソフトウェア・サプライチェーンに関する警告
crypto.newsの以前の記事で、JavaScriptのサプライチェーン攻撃について触れた際、LedgerのGuillemetは、週のダウンロードが20億回を超える改ざんされたnpmパッケージが、Node.js上に構築されたdAppやウォレットに対してシステム的なリスクをもたらすと警告していました。別の記事では、北朝鮮のLazarus Groupが、悪意のあるnpmパッケージを仕込み、開発者環境にバックドアを作ってSolanaおよびExodusウォレットのユーザーを標的にした方法が詳述されました。さらに3つ目のcrypto.newsの記事では、次世代マルウェアとして、npmおよび低コストのAIツールを介したバックドア型サプライチェーン攻撃が、犯罪者の遠隔での4,200台超の開発者マシンの制御を可能にし、暗号損失が数十億ドル規模に寄与したことが示されました。