恶意代码嵌入开源软件包导致加密货币被盗,并可能在系统中留下后门,影响了dYdX加密货币交易所的用户。据Ars Technica报道,安全公司Socket的研究人员发现,发布在npm和PyPI存储库上的软件包遭到入侵,允许攻击者窃取钱包凭证,并在某些情况下入侵设备。这次攻击凸显了软件供应链面临的日益增长的威胁,可能对受影响的用户造成毁灭性后果。
据Socket称,受损的软件包,包括npm版本的dydxprotocolv4-client-js(3.4.1和1.22.1),使所有使用它们的应用程序都面临风险。这次攻击的直接影响包括钱包完全被盗和加密货币不可逆转的损失。攻击范围涵盖所有依赖于受损版本的应用程序,影响使用真实凭证进行测试的开发人员和生产环境中的最终用户。
VentureBeat详细介绍了这一事件突显的以身份为基础的攻击的更广泛趋势。在另一个例子中,一名开发人员收到了LinkedIn消息,导致安装了一个恶意软件包。然后,该软件包窃取了云凭证,包括GitHub个人访问令牌和AWS API密钥,使攻击者在几分钟内访问云环境。根据CrowdStrike Intelligence的研究,这种被称为身份和访问管理(IAM)枢纽的攻击链突显了企业监控基于身份的威胁方面存在的重大差距。
虽然dYdX事件侧重于加密货币,但受损软件包的更广泛影响是巨大的。这些攻击表明,攻击者可以多么容易地通过利用软件供应链中的漏洞来渗透系统。
在其他新闻中,比特币的价值经历了剧烈波动。据《财富》杂志报道,这种加密货币已经损失了50%的价值,从2025年10月每个币约125,000美元的高点跌至61,300美元的低点。迈克尔·赛勒的比特币金库公司Strategy的股票下跌了17%,并且比去年的峰值下跌了75%。
与此同时,据NPR Politics报道,国务院正在删除其在社交媒体平台X上于2025年1月20日特朗普总统重返办公室之前在其公共账户上发布的所有帖子。这些帖子将被内部存档,并且那些希望查看它们的人需要提交《信息自由法》申请,根据国务院一名雇员的说法。
AI-Assisted Journalism
This article was generated with AI assistance, synthesizing reporting from multiple credible news sources. Our editorial team reviews AI-generated content for accuracy.
Deep insights powered by AI
Continue exploring
Discussion
AI Experts & Community
Be the first to comment