だから、ここにスクープがあります:「Qix」は、最も燃えていないNPMアカウントを持つ開発者がフィッシュしました。はい、フィッシングはどうやら、ハッカーは大きなキャッチが泳ぐ釣りが大好きです。彼らは彼のパッケージをハイジャックし、それらをマルウェア愛好家にとって悪意のあるビュッフェに変えました。
1つまたは2つだけでなく、何十ものエースJavaScriptパッケージなど、すべてのデイゴットに依存している無実のユーティリティがサタンの変身です。これらのパッケージは、カジュアルな毎週のダウンロードのために組み合わされます。したがって、ええ、このハックは基本的にグローバルなくしゃみに相当するソフトウェアでした。 gesundheit!
これはあなたの庭のバリエットサイバー犯罪ではありませんでした – これはフルオンソフトウェアサプライチェーンの待ち伏せであり、JavaScript/node.jsエコシステムを信頼の問題を伴う熱を求めるミサイルのようにレーザーターゲットを狙っています。
npmサプライチェーン攻撃 – 不正なドラマ
私たちの仲間のQixは、マグロトーナメントで新人よりも激しく硬くなりました。これで、悪意のあるコードがNPMパッケージに潜んでおり、「HODL」と言うよりも速く暗号を奪う準備ができています。
攻撃のトリックには、
が含まれます
request()およびsend()などのウォレット機能をハイジャックします
- netflixプロットよりも滑らかなETH/SOLアドレスを交換する
- そして基本的にあなたの貴重なコインに「ゴッチャ」と言っています…
– 詐欺スニファー| Web3 anti-scam(@RealScamsNiffer)2025年9月8日
Meet the Crypto Clipper: Hacker’s Really Fancy Virtual Pickpocket
This “crypto-clipper” malware is like a digital shoplifter with *extreme* attention to detail. Instead of grabbing your wallet, it sneakily swaps wallet addresses mid-transaction, making off with your crypto before you even notice. Obfuscation levels? Maximum. Detection? Nearly zero.
Two horrifying paths to your funds:
- If you don’t have a crypto wallet extension, it hijacks all your browser’s fetch and HTTP requests, replacing addresses with ones belonging to the bad guys. (Yes, all your innocent network chatter is fair game.)
- If you DO have a crypto wallet, this malware pauses your transaction like a suspicious waiter, swaps in the scammer’s address, and sends your money sailing off into the digital abyss.
And it targeted some popular packages like chalk, strip-ansi, color-convert, and color-name-basically the paint-by-numbers of JavaScript apps everywhere. Because why not?
The dark comedy of the whole mess? The hack was uncovered by a “fetch is not defined” error. Yep, the malware stumbled over its own feet trying to sneak data out, and boom-disaster for hackers, jackpot for devs.
Ledger’s CEO weighed in wisely: “If you’re rocking a hardware wallet, eyeball every transaction before signing like it’s your ex’s text messages. If not, maybe hold off on on-chain shenanigans for now.”
Current npm hack breakdown:
If a website uses a compromised package, hackers get to play puppet master. Press “swap” on your favorite site? Congrats, your money might just jump ship and swim away.
– 0xngmi (@0xngmi) September 8, 2025
The Attack’s Reach: JavaScript Everywhere, Trust Nowhere
This malware doesn’t discriminate. It targets any JavaScript or Node.js environment, from your favorite browser apps to desktop, servers, and mobile apps built with JavaScript frameworks. Basically, your whole digital world is shaking its head in horror.
So your innocent business web app might be hosting these nasty packages under its roof-quietly counting downloads while turning into a crypto trap. But fear not: the malware only flips the script when cryptocurrency is actually involved, so your cat video site is probably safe. For now.
Uniswap and Blockstream have stepped up with reassuring tweets, basically saying: “We’re not messed with, but please double check your wallet like a paranoid spy.”
Uniswap’s official word on the npm panic:
“Our apps are chill. No vulnerable packages here. But stay alert, because hackers never sleep.”
– Uniswap Labs (@Uniswap) September 8, 2025
- ETH 予想・見通し・の予想. ETH 暗号通貨
- イーサリアムのステーキングは、2mのethロックされた2mに爆発します。 🤔
- USD JPY 予想・見通し・の予想
- Kpop Demon HuntersでのJinuの衝撃的な犠牲:彼の死の背後にある本当の理由
- GBP USD 予想・見通し・の予想
- ウルリカ・ジョンソン、57歳は、ポッドキャストの外観のためにトロールされた後、年齢主義のコメントに情熱的にヒットします。
- JPY KRW 予想・見通し・の予想
- ケンタッキー州チアリーダーのレイケン・スネリングの赤ちゃんの剖検結果は説明した
- ブラックパンサーの白人の息子ケテマの生後父親が衝撃的に明らかにされました!
- Le Grand Ethereum Caper:4400万ドルと10,000 ETHの物語! 🎩💸
2025-09-10 01:14