パッケージ

SlowMist CISO 23pds が発表しました。パスワード管理ツール Bitwarden CLI バージョン 2026.4.0 が、米東部時間の 17:57 から 19:30 の間に Checkmarx のサプライチェーン攻撃を受け、攻撃者は Bitwarden CI/CD パイプライン内の GitHub Action を悪用して、悪意のあるパッケージを一時的に npm 経由で配布しました。公式に確認されたところによると、Vault データは漏洩しておらず、製品システムには影響がありませんでした。影響を受けたのは、その時間帯に npm からこのバージョンをインストールしたユーザーのみです。公式は、影響を受けたユーザーに対し、2026.4.0 を直ちにアンインストールし、npm キャッシュをクリアし、API トークンや SSH キーなどの機密資格情報をローテーションし、GitHub と CI の異常な活動を調査し、修正バージョン 2026.4.1 にアップグレードすることを推奨しています。

Onchain Lens の監視によると、Vitalik は再び 14.5 ETH（価値 3 万ドル）の価格で贈与された絵文字トークンを販売し始めました。彼はまた、Railgun に 7 万 USDC と 44 ETH を送信し、私的な資金移動を行いました。

市場の情報によると、Socket は npm コアパッケージ axios の 1.14.1 バージョンが活発なサプライチェーン攻撃に遭遇したことを検出しました。攻撃者は悪意のある依存パッケージを注入し、axios に悪意のあるコードを埋め込みました。axios を使用している開発者は、すぐにバージョンを固定し、プロジェクトのロックファイルを確認することをお勧めします。

ブルームバーグのアナリスト、エリック・バルチュナスは、ソーシャルメディアで、タトルとストライブが共同で発表したT-StriveデジタルクレジットETFが新しい申請書類を提出したと述べました。このETFはDAT社の優先証券を保有します。このT-StriveデジタルクレジットETFは、一連のポートフォリオ型商品で、基礎資産は複数のデジタル資産信託（DAT）の優先証券です。単一の発行者に賭けるのではなく、「DAT優先証券ポートフォリオETF」と理解できます。

Cryptopolitan の報道によると、GhostClaw という名前の新しいマルウェアが macOS デバイス上の暗号財布を標的にしています。このマルウェアは、合法的な OpenClaw CLI ツールに偽装しており、npm レジストリに一週間存在した後、178 人の開発者を感染させた後に削除されました。開発者が "npm install" コマンドを実行すると、隠されたスクリプトがグローバルに GhostClaw パッケージをインストールし、難読化された設定ファイルを通じて検出を回避します。GhostClaw は 3 秒ごとにクリップボードをスキャンし、秘密鍵、リカバリーフレーズ、公開鍵などの暗号財布や取引に関連するデータをキャプチャします。第2段階のペイロードがダウンロードされた後、GhostLoader は Chromium ブラウザ、macOS キーチェーン、およびシステムストレージ内の暗号財布データをスキャンし、ブラウザセッションをクローンしてログイン済みの財布へのアクセスを取得し、OpenAI や Anthropic などの AI プラットフォームに接続する API トークンを盗みます。盗まれたデータは Telegram、GoFile、およびコマンドサーバーを通じて攻撃者に送信されます。

OpenClawの創設者Peter SteinBergerはXプラットフォームで投稿し、チームがOpenClawプラグインシステムをより強力にし、コアシステムをよりスリムに保つ方法を考えていることを示しました。また、Claude CodeとOpenAI Codexプラグインパッケージのサポートを追加する計画があります。彼は次回のOpenClawバージョン更新が今週の日曜日にリリースされる予定であり、新バージョンではユーザーがAIエージェントがタスクを実行している間にいつでも質問できるようになることを明らかにしました。同時に、Peter SteinBergerはXのために開発されたフィルタリング自動タスクが良好に機能していることを明らかにしました。このシステムは5分ごとに実行され、スパム情報やマーケティング返信などのコンテンツを自動的に識別してクリーンアップし、有効なインタラクション体験を向上させます。

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

据 mempool 数据，昨日 22:13:06，某独立比特币矿工成功将区块 924569 打包，获得 3.146 枚 BTC 区块奖励，价值约合 26.45 万美元。mempool のデータによると、昨日 22:13:06 に、ある独立したビットコインマイナーがブロック 924569 を成功裏にパッケージ化し、3.146 BTC のブロック報酬を得て、約 26.45 万ドルの価値を持っています。

ChainCatcher のメッセージによると、DuckDB の公式 Twitter が発表したところによれば、DuckDB の Node.js および Wasm パッケージが最近の npm サプライチェーン攻撃でマルウェアに感染したとのことです。公式は調査を行い、影響を受けたバージョンを廃止し、新しいバージョンをリリースしました。DuckDB は、npm データに基づいて、影響を受けたパッケージをダウンロードしたユーザーはいないと述べています。チームは安全に関する公告を発表し、事後分析および対応策を詳述しています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、独立したマイナーがビットコインのブロックを成功裏に採掘し、3.129 BTC、価値 347,980 ドルを獲得しました。

ChainCatcher のメッセージによると、The Block の報道で、アメリカ証券取引委員会（SEC）の議長ポール・アトキンスは、ワイオミング州のブロックチェーンセミナーで、極めて少数の暗号トークンが証券に該当すると述べ、この立場は前任の議長の態度と対照的であるとしています。アトキンスは、トークン自体が必ずしも証券であるわけではなく、その性質は関連するパッケージや販売方法に依存すると強調しました。SEC は以前に「Project Crypto」プロジェクトを立ち上げ、証券法の現代化を推進し、アメリカの金融市場をブロックチェーンに移行させることを目指しています。アトキンスは、SEC がイノベーションを受け入れ、政府の各部門や議会と協力して、適切な規制を防ぐための枠組みを構築することを表明しました。

ChainCatcher のメッセージによると、mempool データに基づき、今朝 5:43:51 に、ある独立したビットコインマイナーがブロック 907,465 を成功裏にパッケージ化し、3.164 BTC のブロック報酬を獲得し、約 37.58 万ドルの価値を持っています。

ChainCatcher のメッセージによると、mempool データに基づき、今朝ある独立したビットコインマイナーがブロック 903,883 を成功裏にパッケージ化し、3.173 BTC のブロック報酬を獲得しました。これは約 35 万ドルに相当します。

ChainCatcher のメッセージによると、The Block の報道で、CKpool の開発者が明らかにしたところによると、今朝のブロック高 899,826 のパッカーは、算力レンタル戦略を採用した独立したマイナーでした。このマイナーは CKpool の独自のマイニングソフトウェアを使用して、算力を毎週 6.11 PH/s から 261 PH/s に一時的に引き上げ、最終的に約 1/3050 の確率（当時の全ネットワーク算力は 796 EH/s）でブロックを成功裏に掘り出し、3.151 BTC（約 33 万ドル）の報酬を得ました。注目すべきは、これは CKpool の歴史の中で独立したマイナーによって掘り出された 300 番目のブロックであり、類似のケースは今年の 4 月にも発生しており、中小マイナーが柔軟な戦略を通じてビットコインマイニングに参加する可能性を示しています。

ChainCatcher のメッセージ、Socket セキュリティ研究チームは、バイナンススマートチェーン（BSC）およびイーサリアム（Ethereum）ユーザーのウォレットを攻撃する4つの悪意のある npm パッケージを発見しました。これらのパッケージはそれぞれ、pancake_uniswap_validators_utils_snipe（350 回のダウンロード）、pancakeswap-oracle-prediction（445 回のダウンロード）、ethereum-smart-contract（305 回のダウンロード）、および env-process（1,054 回のダウンロード）で、累計ダウンロード数は 2,100 回を超えています。攻撃者は混乱した JavaScript コードを使用して、ターゲットウォレットの残高のパーセンテージを計算し、最大 85% の資産を自分の管理するウォレットアドレスに移転しようと試みています。

ChainCatcher のメッセージによると、公式の発表で OKX が「契約グリッド補償券狂歓季」イベントを開始しました。イベント期間は 2025 年 5 月 14 日 16:00 から 5 月 28 日 16:00（UTC+8）までで、初めて契約グリッド戦略を作成する新規ユーザーは、イベントページで 10 USDT の補償券を受け取ることができます。賞金プールの総額は 80,000 USDT に達し、数量は限られているため、先着順で、1 人につき 1 回限りの受け取りとなります。報告によると、補償券を成功裏に受け取ったユーザーは、8 時間以内に任意の SOL/USDT、BTC/USDT または ETH/USDT の契約グリッド戦略を作成する必要があり、戦略を開始した後に戦略パラメータ設定（利益確定・損切り価格の調整、ポジションの増加を含む）を変更してはいけません。戦略が利益を上げなかった場合、OKX は補償券の金額に基づいて補償を行います。期限内に使用されなかった補償券は自動的に無効となり、賞金プールに返却され、ユーザーは再度補償券を受け取ることはできません。

ChainCatcher のメッセージによると、暗号セキュリティ研究機関 Aikido Security の監視により、公式 XRPL NPM パッケージにセキュリティの脆弱性が発見されました。このバックドアプログラムは、ユーザーの秘密鍵を盗み、攻撃者に送信します。影響を受けるバージョンは 4.2.1 から 4.2.4 までで、Aikido Security は古いバージョンを使用しているユーザーに対し、バージョンアップグレードを行わないように推奨しています。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。