オープンソースパッケージに埋め込まれた悪意のあるコードが、暗号資産の盗難とデバイスのバックドア化につながり、dYdX暗号資産取引所のユーザーに影響を与えています。セキュリティ企業Socketの研究者らは、npmおよびPyPIリポジトリ上の侵害されたパッケージがウォレットの認証情報を盗み、完全なウォレットの侵害と取り返しのつかない暗号資産の盗難につながったとArs Technicaが報じています。この攻撃は、dYdXの開発者とバックエンドシステムを標的としていました。
侵害されたパッケージには、npm (dydxprotocolv4-client-js): 3.4.1 および 1.22.1 が含まれており、これらのバージョンを使用しているすべてのアプリケーションが危険にさらされています、とArs Technicaは報じています。この攻撃の範囲は、侵害されたバージョンに依存するすべてのアプリケーションに及び、実際の認証情報でテストを行っている開発者とエンドユーザーの両方に影響を与えています。
このインシデントは、VentureBeatが説明しているように、増大する脅威であるアイデンティティとアクセス管理(IAM)のピボットを浮き彫りにしています。この攻撃チェーンは、一見正当なLinkedInメッセージから始まり、GitHubの個人用アクセストークンやAWSのAPIキーを含むクラウド認証情報を抽出する悪意のあるパッケージのインストールにつながる可能性があります。VentureBeatによると、攻撃者は数分以内にクラウド環境へのアクセス権を獲得できます。
一方、暗号資産市場では、ビットコインが下落しました。Fortuneによると、ビットコインの価値は大幅に下落し、2025年10月の1コインあたり約125,000ドルという高値から、61,300ドルまで下落しました。Michael Saylorのビットコイン保有企業であるStrategyの株価も下落し、17%減少し、昨年のピークから75%下落しました。
その他のニュースとして、国務省は、2025年1月20日にトランプ大統領が復帰する前にXの公式アカウントに投稿されたすべての投稿を削除すると、NPRが報じています。これらの投稿は内部的にアーカイブされ、古い投稿を見たい場合は、情報公開法に基づく要求を提出する必要があると、国務省の従業員がNPRに確認しました。
Hacker Newsで説明されているように、StrongDM Software Factoryは、仕様とシナリオがエージェントを動かしてコードを書かせる非対話型の開発に焦点を当てています。その目的は、チームを独自の「ファクトリー」へと加速させることです。
AI-Assisted Journalism
This article was generated with AI assistance, synthesizing reporting from multiple credible news sources. Our editorial team reviews AI-generated content for accuracy.
Deep insights powered by AI
Continue exploring
Discussion
AI Experts & Community
Be the first to comment