サプライチェーン

金十の報道によると、華泰証券の研究報告は、現在の中東の紛争の持続期間と世界的な供給と需要への影響が「一時的」な衝撃を超えており、資金とサプライチェーンに実質的な断裂が生じていると指摘しています。年内にはドルと原油価格が予想以上に強くなると予測されており、世界的な流動性の緩和程度は予想を下回り、評価の引き上げ余地も予想を下回るでしょう。市場はニュースを追う段階からファンダメンタルズに戻る心理的プロセスを経験する可能性があり、物資の不足、サプライチェーン、キャッシュフローのリスクにより一層注目が集まるでしょう。華泰証券はボラティリティに対して一定の敬意を持つことを推奨しています。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

市場の情報によると、Socket は npm コアパッケージ axios の 1.14.1 バージョンが活発なサプライチェーン攻撃に遭遇したことを検出しました。攻撃者は悪意のある依存パッケージを注入し、axios に悪意のあるコードを埋め込みました。axios を使用している開発者は、すぐにバージョンを固定し、プロジェクトのロックファイルを確認することをお勧めします。

慢雾の監視によると、Apifox デスクトップクライアントはサプライチェーン攻撃に遭い、その公式 CDN がホスティングするフロントエンドスクリプトファイルに高度に難読化された悪意のある JavaScript コードが注入されました。影響を受けたユーザーは、認証情報の盗難、機密データの漏洩、リモートコマンドの実行などのリスクに直面する可能性があり、悪意のあるコードは自動的に実行され、高度に隠蔽されています。慢雾はユーザーに対し、すべてのトークンを直ちに取り消し、パスワードをリセットし、ログアウトして再ログインしてセッションを無効にし、*.apifox.it.com ドメインをブロックし、ローカルストレージをクリアし、API ログと異常な活動を確認することを推奨しています。

Andrej Karpathy は X プラットフォームで、litellm が PyPI サプライチェーン攻撃に遭ったと発表しました。pip install litellm を実行するだけで、SSH キー、AWS/GCP/Azure 認証情報、Kubernetes 設定、git 認証情報、環境変数、暗号ウォレット、SSL プライベートキー、CI/CD キー、およびデータベースパスワードを盗むことができます。litellm の月間ダウンロード数は 9700 万回に達し、litellm に依存するすべてのプロジェクト、例えば dspy にリスクが広がる可能性があります。悪意のあるコードが埋め込まれたバージョンのオンライン時間は約 1 時間未満で、攻撃コードに欠陥があったため、Callum McMahon のマシンのメモリが枯渇してクラッシュしたことで発見されました。Andrej Karpathy は、サプライチェーン攻撃が現代のソフトウェアにおける最も脅威的な問題であり、依存関係をインストールするたびに依存ツリーの深いところに改ざんされたパッケージが導入される可能性があるため、依存関係を減らし、LLM を使用して直接シンプルな機能を実現することにますます傾いていると述べています。

据路透社报道，Anthropic は月曜日に訴訟を提起し、ペンタゴンが同社を国家安全保障のブラックリストに載せるのを阻止しようとしています。この動きは、この人工知能ラボとアメリカ軍との間で技術使用制限に関する高リスクの対立をエスカレートさせるものです。ペンタゴンは先週の木曜日に正式に Anthropic をサプライチェーンリスクとしてリストに載せ、情報筋によればイランの軍事作戦に使用されている技術に制限をかけました。Anthropic は訴訟の中で、この認定が違法であり、同社の言論の自由と正当な手続きの権利を侵害していると主張しています。カリフォルニアの連邦裁判所に提出された書類は、裁判官にこの認定を取り消し、連邦機関による執行を阻止するよう求めています。Anthropic は「これらの行動は前例がなく、違法です。憲法は政府がその巨大な権力を使って企業の保護された言論を罰することを許可していません」と述べています。国防長官の Pete Hegseth は、Anthropic が自律兵器や国内監視に使用される AI の制限を解除することを拒否した後、同社を国家安全保障のサプライチェーンリスクとしてリストに載せました。この認定は、Anthropic の政府業務に重大な脅威をもたらし、その結果、他の AI 企業が技術の軍事使用制限を交渉する方法に影響を与える可能性があります。しかし、Anthropic の CEO Dario Amodei は木曜日に、この認定が「範囲が限られている」と明言し、企業はペンタゴンとは無関係なプロジェクトでそのツールを使用することができると述べました。

据慢雾监测，开源 AI Agent 项目 OpenClaw 的官方插件中心 ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制，已有大量恶意 skill 混入其中，并被用于传播恶意代码或投放有害内容，给开发者和用户带来潜在安全风险。根据 Koi Security 的报告，在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills，反映出典型的"插件/扩展市场供应链投毒"形态。慢雾建议，不要把 SKILL.md 的"安装步骤"当成可信来源，任何要求复制粘贴执行的命令都应先审计；警惕"需要输入系统密码/授予辅助功能/系统设置"的提示，这往往是风险升级点；优先从官方渠道获取依赖与工具，避免执行来源不明的安装脚本。

慢雾科技首席信息安全官 23pds はセキュリティ警告を発表しました。NPM サプライチェーン攻撃の最新の変種「Shai-Hulud 3」が再び襲来しています。各プロジェクトチームとプラットフォームは注意して防止してください。以前、Trust Wallet API キーの漏洩が Shai-Hulud 2 攻撃の原因である可能性が疑われていました。Shai-Hulud は、NPM エコシステムを対象とした自己伝播型ワーム式サプライチェーン攻撃の一連であり、開発者の資格情報、クラウドキー、および環境シークレットを盗むために使用されます。最新の変種（コミュニティでは Shai-Hulud 3 または新しいストレインと呼ばれています）は、2025 年 12 月 28 日に Aikido Security の研究者 Charlie Eriksen によって発見されました。現在のところ、感染範囲は限られており、テスト段階にある可能性があります。

慢雾テクノロジーの最高情報セキュリティ責任者 23pds がセキュリティ警告を発表しました。NPM サプライチェーン攻撃の最新の変種「Shai-Hulud 3」が再び襲来しています。各プロジェクトとプラットフォームは防御に注意してください。以前、Trust Wallet API キーの漏洩が Shai-Hulud 2 攻撃の原因である可能性が疑われていました。

据智通财经报道，国家金融监督管理总局办公厅印发《银行业保险业数字金融高质量发展实施方案》。方案提出，服务先进制造业发展。利用工业互联网和产业知识图谱提高对制造业企业生产交易、仓储物流等环节的数据采集、分析和应用能力。强化对制造业数字化改造的信贷支持，运用大数据、区块链等技术规范发展供应链金融，积极对接产业链上下游企业的融资需求。积极运用数字技术提供首台重大技术装备、首批次新材料等保险补偿服务，增强安全风险防范能力。

据金十数据报道，有市场消息称，英伟达已经告知中国客户，计划 2026 年 2 月中旬交付 H200 芯片。预计发货总量为 5000---10000 套模组，约 4 万至 8 万颗 H200 芯片。对此，英伟达回应称，"我们正在持续管理我们的供应链，向中国授权客户销售 H200 不会影响我们向全球客户供货的能力。"按英伟达的口径，H200 向中国市场销售的计划基本确认。与此同时，有知情人士称，英伟达 CEO 黄仁勋还将于 2026 年 1 月份来华拜访。知情人士还表示，"英伟达给渠道的 H200 8卡模组单价 140 万元，比 H20 贵一些。"

据金十报道，美国白宫国家经济委员会主任哈塞特表示，在供应方面出现积极冲击的情况下，降息仍存在许多空间。金十の報道によると、アメリカのホワイトハウス国家経済会議のディレクターであるハッセットは、供給面でのポジティブなショックが発生した場合、利下げにはまだ多くの余地があると述べています。

根据美联储最新发布的研究显示，美国前 100 大银行与 100 家非银行金融机构（NBFIs）在"第三方服务供应商"层级存在高度集中风险，一旦关键云端、支付或核心 IT 服务商遭遇瘫痪，将迅速演变为跨市场的系统性事件。模型显示，在极端情境下，系统性事故造成的 99.9% 尾端损失规模可远高于常态营运风险，营运中断已成为主要损失来源而非传统信用事件。从宏观金融角度观察，该研究首度以量化方式证实"数位基础设施失效"本身即可构成金融危机触发器，而非仅为附带风险。当第三方关键节点失效，将同步冲击支付清算、流动性配置、信贷传导与风险对冲机制，短期内推升美元需求、压缩全球美元流动性，并使信用利差与波动率出现阶跃式上行。银行虽在名目暴露上低于非银行机构，但其相对营收的极端损失反而更大，显示大型传统金融体系在尾端风险上的脆弱性被市场长期低估。加密市场对此类"功能性风险"的敏感度更高，交易所、钱包、托管、预言机与结算层高度依赖云端与第三方授权服务，一旦出现区域性或供应商级中断，极易形成连锁清算与流动性真空。历史经验显示，此类非价格型冲击往往导致短期杠杆资金被动去化，波动率急剧放大。短线比特币结构支撑将回测高杠杆密集区，下方流动性若被穿透，需提防"流动性螺旋式下跌"风险。Bitunix 分析师：这份报告的核心意义在于，市场正从"金融风险定价"迈入"基础设施风险定价"的新阶段。未来资金配置将不仅考量利率与成长，还将同步评估系统运作的稳定性与供应链集中度。风险偏好将更具事件驱动特性，真正的结构性机会将出现在韧性资产与去中心化基础设施价值被重新定价的时点。

ChainCatcher のメッセージ、Scam Sniffer が NPM サプライチェーンに対する新たな攻撃事件を検知しました。@ctrl/tinycolor（週のダウンロード数は 220 万回）から悪意のあるバージョンがリリースされました。このバージョンは、npm が postinstall（インストール後）スクリプトを実行する際に情報窃取プログラムを実行し、敏感なデータをスキャンして盗むものです。この悪意のあるペイロードは、正当な敏感情報スキャンツール TruffleHog を悪用しています。影響を受けたバージョンをダウンロードしたかどうかを確認し、インストール/更新操作を一時停止し、バージョンを既知の安全なバージョンに固定してください。

ChainCatcher のメッセージによると、DuckDB の公式 Twitter が発表したところによれば、DuckDB の Node.js および Wasm パッケージが最近の npm サプライチェーン攻撃でマルウェアに感染したとのことです。公式は調査を行い、影響を受けたバージョンを廃止し、新しいバージョンをリリースしました。DuckDB は、npm データに基づいて、影響を受けたパッケージをダウンロードしたユーザーはいないと述べています。チームは安全に関する公告を発表し、事後分析および対応策を詳述しています。