tradingkey.logo
検索
マーケット
ニュース
分析
ツール
English
繁体中文
ไทย
Tiếng việt
简体中文
Español
Português
Deutsch
한국어
日本語
tradingkey.logo
検索
ニュース暗号資産

Axiosのサプライチェーン攻撃により、仮想通貨ウォレットへのリスクが高まる

CryptopolitanMar 31, 2026 8:15 AM

最も人気のあるJavaScriptライブラリの一つであるAxiosが、侵害され、暗号通貨ウォレット攻撃に関与している可能性がある。npmパッケージ攻撃はますます増加しており、プロジェクト、開発者、エンドユーザーを直接攻撃している。. 

Axiosのnpmパッケージが公式JavaScriptライブラリに公開された後、わずか数時間後に非公開にされた。オンチェーンセキュリティの専門家がこの攻撃を阻止したが、攻撃は約3時間にわたって継続していた。. 

npm パッケージは @jasonsaayman のdent情報を通じて侵害されたことが判明し、研究者らはアカウントが侵害された兆候を引き続き調査した。影響を受けたパッケージは axios@1.14.1 と axios@0.30.4 であることがdentされた。.

Cryptopolitanとして 報告したように、npmへの攻撃は暗号通貨ウォレットを標的にすることが多く、特にチームメンバーが多額の資産を保有している分散型プロジェクトにとってはリスクが高い。

Axios npm攻撃では何が起こったのか? 

StepSecurityはdent企業の1つですdent情報が侵害されたことにより、Axios HTTPクライアントライブラリの悪意のあるバージョンが2つ公開され、GitHub上の通常の公開パイプラインを迂回していました。

StepSecurityによると、これは広く利用されている上位10位以内のnpmパッケージに対する、これまでで最も高度な攻撃だった。悪意のあるパッケージバージョンは、axiosのソースコードにはインポートされていない新しい依存関係、plain-crypto-js@4.2.1を挿入する。この依存関係は、すべてのオペレーティングシステムで有効なインストール後スクリプトを実行する。. 

npmを使用した後、クライアントはリモートアクセス型トロイの木馬ドロッパーに感染します。このドロッパーは稼働中のサーバーを持ち、ペイロードを配信します。マルウェアは検出を回避するために、自身を削除し、疑わしい.jsonファイルをクリーンなバージョンに置き換えます。

どのような種類のプロジェクトが影響を受けましたか?

npmパッケージは最も人気のあるパッケージの一つで、週間のダウンロード数は最大1億回に達しました。しかし、現時点では不正な仮想通貨の移動に関する報告はありません。過去には、npmへの攻撃によって、無名のトークンからわずか1,000ドルの仮想通貨が失われた事例がありました。. 

悪意のあるnpmを制限する唯一の方法は、バージョンを trac、自動アップグレードを許可しないか、新しいバージョンをチェックして潜在的な悪意のあるアップロードがないか確認することです。. 

研究者らは、同様の方法でペイロードを配信する2つの悪意のあるパッケージ(@shadanai/openclawと@qqbrowser/openclaw-qbot)も発見した。この攻撃は、LiteLLMによる悪意のあるコード注入からわずか1週間後に発生した。. 

攻撃期間中、Web3やOpenClawプロジェクトが影響を受けたり、暗号通貨が盗まれたりしたという報告はありません。しかし、盗まれた認証情報や不正なパブリッシャーを通じて、npm攻撃が常態化する可能性があるという警告が出されました。この脅威は、 dentスキルプラットフォームを利用した悪意のあるコードに関する以前の警告に続くものです

これらのパッケージはWeb3やボットプロジェクトに限らず、暗号通貨ウォレットに関連付けられたペイロードにも影響を与える可能性があります。Pythonのnpmおよびpipインストールに対する信頼の喪失は、ライブラリエコシステム全体の信頼を損なう可能性があり、より安全なアップロード経路を求める声が上がるでしょう。. 

AIエージェントの使用は、無差別なパッケージダウンロードにつながり、脅威を拡散させる可能性もある。仮想通貨ウォレットへの実際の影響はすぐには現れないかもしれないが、ウォレットデータが漏洩する危険性は依然として存在する。. 

最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか?ぜひご参加ください。

免責事項:本サイトで提供する情報は教育・情報提供を目的としたものであり、金融・投資アドバイスとして解釈されるべきではありません。

おすすめ記事

IREN、NBIS、CRWV:AIインフラ・ブームにおけるネオクラウドの台頭

アイリス・エナジー(IREN)、ネビウス(NBIS)、コアウィーブ(CRWV)は、AIインフラを共通の重点分野としていることから、頻繁に同一グループとして扱われている。
TradingKey17 hours ago

マイクロンが10%急落、決算は予想を上回るも株価は30%の続落。AIメモリチップは依然として買いか?

TradingKey — マイクロン・テクノロジー(MU)の直近の株価推移は、AIメモリセクターにおけるセンチメントの変化を象徴する縮図となっている。堅調な決算を発表したにもかかわらず、同社株は発表後に軟調な推移を続け、累計下落率は30%近くに達している。市場は現在、現在のAIメモリブームの持続可能性について再評価を進めている。
TradingKey17 hours ago

テスラ (TSLA) 2026年徹底分析レポート:5倍の価格乖離の裏側、斜陽の自動車メーカーか、それともAIの巨人か?

テスラの2026年投資見通しに関する徹底分析。ウォール街における5倍ものバリュエーション格差の背景にある、AI大手への変貌とロボタクシーの量産計画を検証する。粗利益率データ、エネルギー事業、およびマクロ金利リスクを包括的に解体・分析することで、2026年に向けたテスラの主要な投資シグナルとバリュエーションの実態を明らかにする。
TradingKeyMon, Mar 30

メモリ市場が急落。メモリ関連株が軒並み予想外の反落、強気サイクルは終了か、それとも買い場か。

TradingKey — 3月中旬以降、メモリ価格の転換により、メモリサイクルがピークに達したとの懸念が市場で強まっている。米東部時間金曜日の時点で、米国市場のメモリチップ関連株は週間で大幅な反落を記録した。これまで最大の上げ幅と高い価格弾力性を示していたウエスタンデジタル(サンディスク)は、週間のピークから13%超下落し、マイクロンは高値から15%以上下落した。同セクターは週間で一斉に調整を迎え、ナスダック指数の下落を主導した。
TradingKeyMon, Mar 30

Google TurboQuant圧縮アルゴリズムとは何か?AIストレージ半導体業界にどのような影響を与えるのか?

TradingKey — グーグル(GOOGL)(GOOG)によるベクトル圧縮アルゴリズム「TurboQuant」の導入は、AIメモリチップ業界に激震を走らせており、正確に投じられた一石のような波紋を広げている。
TradingKeyFri, Mar 27
KeyAI