axios

OpenAIは発表し、最近の業界全体の安全事件において、使用しているサードパーティ開発ライブラリAxiosに潜在的な安全問題があることを発見した。調査の結果、ユーザーデータがアクセスされたり、システムが侵害されたり、ソフトウェアが改ざんされた証拠は見つからなかった。慎重を期して、OpenAIは安全強化措置を開始し、特にmacOSアプリの認証メカニズムを強化し、悪意のある者が公式アプリを偽造して配布するのを防ぐことに重点を置いている。OpenAIはすべてのmacOSユーザーに対し、潜在的なリスクを低減するために、最新バージョンのアプリにできるだけ早く更新するよう、アプリ内更新または公式チャネルからのダウンロードを通じて促している。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

慢雾は再び安全に関する警告を発表し、axiosの悪意のあるバージョンとOpenClawのnpmグローバルインストール履歴の露出リスクに注意するよう呼びかけています。[email protected]と[email protected]は悪意のあるバージョンとして確認されており、両者は[email protected]に依存しており、postinstallスクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信しています。OpenClawの影響状況はシナリオによって判断されます：ソースコードのビルドは影響を受けず、ロックファイルでロックされたバージョンは1.13.5/1.13.6です。しかし、npm install -g [email protected]でインストールしたユーザーには履歴露出リスクがあります。理由は依存関係の中にoptionalDependencies.axios@^1.7.4が存在し、悪意のあるバージョンがオンラインの間に[email protected]に解決される可能性があるためです。現在、npmは[email protected]に解決を戻しましたが、攻撃ウィンドウ内でインストールされた環境は引き続き調査を推奨します。慢雾は各プラットフォームの調査コマンドとIoCパスを提供しており、plain-crypto-jsディレクトリが存在する場合、package.jsonがクリーンにされていても、高リスクの実行痕跡と見なすべきです。影響を受けたホストは直ちに資格情報をローテーションし、ホスト側の調査を開始することをお勧めします。以前の情報では、慢雾の創設者である余弦が、OpenClaw 3.28バージョンが毒入りバージョンのaxiosを導入する可能性があると警告しており、ユーザーは緊急に調査する必要があります。

慢雾の創設者余弦が安全に関する注意喚起を発表しました：私たちは基本的に、ユーザーの OpenClaw が最新バージョン 3.28 の場合、ウイルスを含む axios が導入される可能性があることを確認していますので、注意して調査してください。また、関連する Skills も axios に依存している可能性があり、間接的にウイルスに感染する恐れがあります。axios の使用が非常に広範囲にわたるため、条件が整えば全体的な調査を行うことができます。

市場の情報によると、Socket は npm コアパッケージ axios の 1.14.1 バージョンが活発なサプライチェーン攻撃に遭遇したことを検出しました。攻撃者は悪意のある依存パッケージを注入し、axios に悪意のあるコードを埋め込みました。axios を使用している開発者は、すぐにバージョンを固定し、プロジェクトのロックファイルを確認することをお勧めします。

ChainCatcher のメッセージによると、AXIOS が報じたところでは、アメリカのトランプ大統領は月曜日に行政命令に署名する予定です。

ChainCatcher のメッセージによると、Axios の報道で、アメリカ合衆国上院議員エリザベス・ウォーレン（Elizabeth Warren）がトランプ政権の暗号通貨および人工知能担当ディレクター、デイビッド・サックス（David Sacks）に対して、潜在的な利益相反に関する情報を公開し、政策決定プロセスの透明性を明らかにするよう求めました。ウォーレンは、政府がブロックチェーン業界を深く支援する中で、政策立案者が利益を得る可能性があることに疑問を呈しました。彼女は特に、サックスが Craft Ventures のパートナーであり、その会社が Bitwise に投資していることを指摘しました。Bitwise 10 インデックスファンドの上位5つの資産（BTC、ETH、SOL、XRP、ADA）は、トランプ政権が戦略的備蓄に組み込むことを計画している資産です。トランプが戦略的ビットコイン備蓄を発表した後、市場は一時的に3000億ドル上昇しましたが、政府が追加の資産を購入しないとの声明を受けて急落しました。ウォーレンはサックスに対し、関連する投資から撤退したことを証明するために財務報告を公開し、政策立案者が発表前に関連取引を行っていたかどうかを明らかにするよう求めました。

ChainCatcher のメッセージによると、AXIOS が報じたところでは、アメリカのホワイトハウスは社会に対して人工知能政策に関する意見を求めています。

ChainCatcher のメッセージによると、AXIOS が報じたところでは、トランプは連邦政策と新興技術の使用に関する政府の調整を行うために、人工知能大臣を任命することを検討している。

Chain Carcher のメッセージによると、Axios は FTX がアメリカに本社を置く暗号通貨取引所 Kraken と潜在的な救済取引について接触したと報じています。Axios は、交渉の詳細は不明であり、続行される可能性もあれば、破綻する可能性もあると述べ、FTX と Kraken の両社がコメントを拒否したと付け加えています。（出典リンク）

ChainCatcher のメッセージによると、Axios が報じた情報筋の話では、マスク氏は Twitter のエンジニアに Vine の再起動を指示したとのことで、年末までに準備が整う可能性があります。Twitter は 2016 年にこのループ動画アプリを閉鎖しました。昨日、マスク氏は「Vine を戻す？」というユーザー投票を開始し、投稿時点で賛成と反対の比率は約 7:3 でした。（Axios）