だから、ここにスクープがあります:「Qix」は、最も燃えていないNPMアカウントを持つ開発者がフィッシュしました。はい、フィッシングはどうやら、ハッカーは大きなキャッチが泳ぐ釣りが大好きです。彼らは彼のパッケージをハイジャックし、それらをマルウェア愛好家にとって悪意のあるビュッフェに変えました。
1つまたは2つだけでなく、何十ものエースJavaScriptパッケージなど、すべてのデイゴットに依存している無実のユーティリティがサタンの変身です。これらのパッケージは、カジュアルな毎週のダウンロードのために組み合わされます。したがって、ええ、このハックは基本的にグローバルなくしゃみに相当するソフトウェアでした。 gesundheit!
これはあなたの庭のバリエットサイバー犯罪ではありませんでした – これはフルオンソフトウェアサプライチェーンの待ち伏せであり、JavaScript/node.jsエコシステムを信頼の問題を伴う熱を求めるミサイルのようにレーザーターゲットを狙っています。
npmサプライチェーン攻撃 – 不正なドラマ
私たちの仲間のQixは、マグロトーナメントで新人よりも激しく硬くなりました。これで、悪意のあるコードがNPMパッケージに潜んでおり、「HODL」と言うよりも速く暗号を奪う準備ができています。
攻撃のトリックには、
が含まれます
request()およびsend()などのウォレット機能をハイジャックします
- netflixプロットよりも滑らかなETH/SOLアドレスを交換する
- そして基本的にあなたの貴重なコインに「ゴッチャ」と言っています…
– 詐欺スニファー| Web3 anti-scam(@RealScamsNiffer)2025年9月8日
Meet the Crypto Clipper: Hacker’s Really Fancy Virtual Pickpocket
This “crypto-clipper” malware is like a digital shoplifter with *extreme* attention to detail. Instead of grabbing your wallet, it sneakily swaps wallet addresses mid-transaction, making off with your crypto before you even notice. Obfuscation levels? Maximum. Detection? Nearly zero.
Two horrifying paths to your funds:
- If you don’t have a crypto wallet extension, it hijacks all your browser’s fetch and HTTP requests, replacing addresses with ones belonging to the bad guys. (Yes, all your innocent network chatter is fair game.)
- If you DO have a crypto wallet, this malware pauses your transaction like a suspicious waiter, swaps in the scammer’s address, and sends your money sailing off into the digital abyss.
And it targeted some popular packages like chalk, strip-ansi, color-convert, and color-name-basically the paint-by-numbers of JavaScript apps everywhere. Because why not?
The dark comedy of the whole mess? The hack was uncovered by a “fetch is not defined” error. Yep, the malware stumbled over its own feet trying to sneak data out, and boom-disaster for hackers, jackpot for devs.
Ledger’s CEO weighed in wisely: “If you’re rocking a hardware wallet, eyeball every transaction before signing like it’s your ex’s text messages. If not, maybe hold off on on-chain shenanigans for now.”
Current npm hack breakdown:
If a website uses a compromised package, hackers get to play puppet master. Press “swap” on your favorite site? Congrats, your money might just jump ship and swim away.
– 0xngmi (@0xngmi) September 8, 2025
The Attack’s Reach: JavaScript Everywhere, Trust Nowhere
This malware doesn’t discriminate. It targets any JavaScript or Node.js environment, from your favorite browser apps to desktop, servers, and mobile apps built with JavaScript frameworks. Basically, your whole digital world is shaking its head in horror.
So your innocent business web app might be hosting these nasty packages under its roof-quietly counting downloads while turning into a crypto trap. But fear not: the malware only flips the script when cryptocurrency is actually involved, so your cat video site is probably safe. For now.
Uniswap and Blockstream have stepped up with reassuring tweets, basically saying: “We’re not messed with, but please double check your wallet like a paranoid spy.”
Uniswap’s official word on the npm panic:
“Our apps are chill. No vulnerable packages here. But stay alert, because hackers never sleep.”
– Uniswap Labs (@Uniswap) September 8, 2025
- USD JPY 予想・見通し・の予想
- 「ハドソンとレックス」のスターは、ハドソンがシーズン7にいない理由をようやく明らかにします
- #1リーク:ベン・グリムはマーベルを破壊しますか?!あなたは次に何が起こるか信じられません!
- CNY JPY 予想・見通し・の予想
- 『ウィッチャー』シーズン4キャスト&キャスト!キャラクターガイド
- シドニー・スウィーニーらがバラエティ誌の2025年パワー・オブ・ウィメンイベントに出席
- ラミ・マレックとラッセル・クロウは『ニュルンベルク』でいかにして「レベルアップ」したか
- なぜグラディスは武器で子供たちを必要としたのですか?やる気が説明されました
- USD CLP 予想・見通し・の予想
- マギー・ボーは、キース・アーバンの噂と歌詞の変化の後、Instagramに戻ります
2025-09-10 01:14