공급망

금십 보도에 따르면, 화타이 증권 연구 보고서는 현재 중동 갈등의 지속 시간과 글로벌 공급 수요에 대한 영향이 "일시적" 충격을 초과하여 자금과 공급망에 실질적인 단절이 발생했다고 지적했습니다. 올해 안에 달러와 유가가 예상보다 강할 것으로 보이며, 글로벌 유동성 완화 정도는 예상보다 낮고, 가치 평가 상승 여지도 예상보다 낮을 것입니다. 시장은 뉴스 추적에서 기본으로 돌아가는 심리적 과정을 겪을 수 있으며, 자원 부족, 공급망 및 현금 흐름 위험에 더욱 주목할 것입니다. 화타이 증권은 변동성에 대해 일정한 경외감을 유지할 것을 권장합니다.

공격자가 JavaScript에서 가장 인기 있는 HTTP 클라이언트 라이브러리 Axios의 수석 유지 관리자의 npm 접근 토큰을 탈취하고, 해당 토큰을 이용해 크로스 플랫폼 원격 접근 트로이 목마(RAT)가 포함된 두 개의 악성 버전([email protected] 및 [email protected])을 배포했습니다. 이들은 macOS, Windows 및 Linux 시스템을 대상으로 하였습니다. 악성 패키지는 npm 레지스트리에서 약 3시간 동안 생존한 후 제거되었습니다.보안 회사 Wiz의 데이터에 따르면, Axios는 매주 1억 회 이상 다운로드되며, 약 80%의 클라우드 및 코드 환경에 존재합니다. 보안 회사 Huntress는 악성 패키지가 온라인에 올라온 지 89초 만에 첫 번째 감염을 감지하였고, 노출 기간 동안 최소 135개의 시스템이 침해되었음을 확인했습니다. 주목할 점은 Axios 프로젝트가 이전에 OIDC 신뢰할 수 있는 배포 메커니즘과 SLSA 추적 증명과 같은 현대적인 보안 조치를 배포했지만, 공격자가 이러한 방어선을 완전히 우회했다는 것입니다. 조사 결과, 프로젝트가 OIDC를 구성하는 동시에 전통적인 장기 유효 NPM_TOKEN을 유지하고 있었으며, npm은 두 토큰이 공존할 때 기본적으로 전통적인 토큰을 우선 사용하여 공격자가 OIDC를 우회하여 배포를 완료할 수 있었습니다.

시장 소식에 따르면, Socket이 npm 핵심 패키지 axios의 1.14.1 버전에서 활발한 공급망 공격을 감지했습니다. 공격자는 악성 의존성 패키지를 주입하여 axios에 악성 코드를 심었습니다. axios를 사용하는 개발자는 즉시 버전을 고정하고 프로젝트 잠금 파일을 검토할 것을 권장합니다.

슬로우 후드 모니터링에 따르면, Apifox 데스크탑 클라이언트가 공급망 공격을 받았으며, 공식 CDN에서 호스팅되는 프론트엔드 스크립트 파일에 고도로 난독화된 악성 JavaScript 코드가 주입되었습니다.영향을 받은 사용자는 자격 증명 도용, 민감한 데이터 유출, 원격 명령 실행 등의 위험에 직면할 수 있으며, 악성 코드는 자동으로 실행되고 고도로 은폐되어 있습니다. 슬로우 후드는 사용자에게 모든 토큰을 즉시 철회하고, 비밀번호를 재설정하며, 세션을 무효화하기 위해 로그아웃 후 다시 로그인할 것을 권장하고, *.apifox.it.com 도메인을 차단하며, 로컬 저장소를 정리하고, API 로그 및 비정상 활동을 검토할 것을 권장합니다.

Andrej Karpathy는 X 플랫폼에서 litellm이 PyPI 공급망 공격을 받았다고 발표했습니다. 단지 pip install litellm을 실행하기만 하면 SSH 키, AWS/GCP/Azure 자격 증명, Kubernetes 구성, git 자격 증명, 환경 변수, 암호화 지갑, SSL 개인 키, CI/CD 키 및 데이터베이스 비밀번호를 훔칠 수 있습니다.litellm의 월 다운로드 수는 9700만 회에 달하며, 위험은 litellm에 의존하는 모든 프로젝트로 확산될 수 있습니다. 예를 들어 dspy와 같은 프로젝트가 있습니다. 악성 코드가 삽입된 버전은 온라인에 올라온 지 약 1시간도 채 되지 않아 Callum McMahon의 머신 메모리가 고갈되어 크래시가 발생하면서 발견되었습니다. Andrej Karpathy는 공급망 공격이 현대 소프트웨어에서 가장 위협적인 문제라고 언급하며, 의존 항목을 설치할 때마다 의존 트리 깊숙한 곳에 변조된 소프트웨어 패키지가 도입될 수 있다고 경고했습니다. 그는 점점 더 의존성을 줄이고 LLM을 사용하여 간단한 기능을 직접 구현하는 쪽으로 기울고 있습니다.

据路透社报道，Anthropic 周一提起诉讼，试图阻止五角大楼将其列入国家安全黑名单，此举升级了这家人工智能实验室与美国军方就其技术使用限制的高风险对抗。五角大楼上周四正式将 Anthropic 列为供应链风险，限制了一项据知情人士称正被用于伊朗军事行动的技术。Anthropic 在诉讼中称，这一认定非法且侵犯了其言论自由和正当程序权利。向加州联邦法院提交的文件要求法官撤销该认定，并阻止联邦机构执行。Anthropic 表示："这些行动是史无前例且非法的。宪法不允许政府动用其巨大权力来惩罚一家公司的受保护言论。"国防部长 Pete Hegseth 上周在 Anthropic 拒绝移除其 AI 用于自主武器或国内监控的限制后，将其列为国家安全供应链风险。这一认定对 Anthropic 的政府业务构成重大威胁，其结果可能影响其他 AI 公司如何谈判其技术的军事使用限制。不过，Anthropic 首席执行官 Dario Amodei 周四澄清，该认定"范围有限"，企业仍可在与五角大楼无关的项目中使用其工具。

据慢雾监测，开源 AI Agent 项目 OpenClaw 的官方插件中心 ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制，已有大量恶意 skill 混入其中，并被用于传播恶意代码或投放有害内容，给开发者和用户带来潜在安全风险。根据 Koi Security 的报告，在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills，反映出典型的"插件/扩展市场供应链投毒"形态。慢雾建议，不要把 SKILL.md 的"安装步骤"当成可信来源，任何要求复制粘贴执行的命令都应先审计；警惕"需要输入系统密码/授予辅助功能/系统设置"的提示，这往往是风险升级点；优先从官方渠道获取依赖与工具，避免执行来源不明的安装脚本。

느린 안개 기술 최고 정보 보안 책임자 23pds 보안 경고 발표NPM 공급망 공격의 최신 변종 "Shai-Hulud 3"가 다시 나타났습니다. 각 프로젝트 팀과 플랫폼은 방어에 주의해 주시기 바랍니다. 이전에 Trust Wallet API 키 유출이 Shai-Hulud 2 공격의 원인으로 의심되었습니다.Shai-Hulud는 NPM 생태계를 겨냥한 자가 전파 웜형 공급망 공격의 일련으로, 개발자 자격 증명, 클라우드 키 및 환경 비밀을 탈취하는 데 사용됩니다. 최신 변종(커뮤니티에서 Shai-Hulud 3 또는 새로운 변종으로 불림)은 2025년 12월 28일 Aikido Security 연구원 Charlie Eriksen에 의해 발견되었으며, 현재 전파 범위는 제한적이며, 아마도 테스트 단계에 있을 것입니다.

느린 안개 기술 최고 정보 보안 책임자 23pds 보안 경고 발표NPM 공급망 공격의 최신 변종 "Shai-Hulud 3"가 다시 발생했습니다. 각 프로젝트 팀과 플랫폼은 방어에 주의해 주시기 바랍니다. 이전에 Trust Wallet API 키 유출이 Shai-Hulud 2 공격의 원인일 수 있다고 의심되었습니다.

据智通财经报道，国家金融监督管理总局办公厅印发《银行业保险业数字金融高质量发展实施方案》。方案提出，服务先进制造业发展。利用工业互联网和产业知识图谱提高对制造业企业生产交易、仓储物流等环节的数据采集、分析和应用能力。强化对制造业数字化改造的信贷支持，运用大数据、区块链等技术规范发展供应链金融，积极对接产业链上下游企业的融资需求。积极运用数字技术提供首台重大技术装备、首批次新材料等保险补偿服务，增强安全风险防范能力。

据金十数据报道，有市场消息称，英伟达已经告知中国客户，计划 2026 年 2 月中旬交付 H200 芯片。预计发货总量为 5000---10000 套模组，约 4 万至 8 万颗 H200 芯片。对此，英伟达回应称，"我们正在持续管理我们的供应链，向中国授权客户销售 H200 不会影响我们向全球客户供货的能力。"按英伟达的口径，H200 向中国市场销售的计划基本确认。与此同时，有知情人士称，英伟达 CEO 黄仁勋还将于 2026 年 1 月份来华拜访。知情人士还表示，"英伟达给渠道的 H200 8卡模组单价 140 万元，比 H20 贵一些。"

据金十报道，美国白宫国家经济委员会主任哈塞特表示，在供应方面出现积极冲击的情况下，降息仍存在许多空间。

根据美联储最新发布的研究显示，美国前 100 大银行与 100 家非银行金融机构（NBFIs）在"第三方服务供应商"层级存在高度集中风险，一旦关键云端、支付或核心 IT 服务商遭遇瘫痪，将迅速演变为跨市场的系统性事件。模型显示，在极端情境下，系统性事故造成的 99.9% 尾端损失规模可远高于常态营运风险，营运中断已成为主要损失来源而非传统信用事件。从宏观金融角度观察，该研究首度以量化方式证实"数位基础设施失效"本身即可构成金融危机触发器，而非仅为附带风险。当第三方关键节点失效，将同步冲击支付清算、流动性配置、信贷传导与风险对冲机制，短期内推升美元需求、压缩全球美元流动性，并使信用利差与波动率出现阶跃式上行。银行虽在名目暴露上低于非银行机构，但其相对营收的极端损失反而更大，显示大型传统金融体系在尾端风险上的脆弱性被市场长期低估。加密市场对此类"功能性风险"的敏感度更高，交易所、钱包、托管、预言机与结算层高度依赖云端与第三方授权服务，一旦出现区域性或供应商级中断，极易形成连锁清算与流动性真空。历史经验显示，此类非价格型冲击往往导致短期杠杆资金被动去化，波动率急剧放大。短线比特币结构支撑将回测高杠杆密集区，下方流动性若被穿透，需提防"流动性螺旋式下跌"风险。Bitunix 分析师：这份报告的核心意义在于，市场正从"金融风险定价"迈入"基础设施风险定价"的新阶段。未来资金配置将不仅考量利率与成长，还将同步评估系统运作的稳定性与供应链集中度。风险偏好将更具事件驱动特性，真正的结构性机会将出现在韧性资产与去中心化基础设施价值被重新定价的时点。

ChainCatcher 메시지, Scam Sniffer가 NPM 공급망을 겨냥한 또 다른 공격 사건을 모니터링했습니다. @ctrl/tinycolor(주간 다운로드 수 220만 회)가 악성 버전을 배포했으며, 이 버전은 npm의 postinstall(설치 후) 스크립트 실행 시 정보 탈취 프로그램을 실행하여 민감한 데이터를 스캔하고 탈취합니다.이 악성 페이로드는 합법적인 민감 정보 스캔 도구인 TruffleHog를 남용했습니다. 영향을 받은 버전을 다운로드했는지 확인하고, 설치/업데이트 작업을 중단하며, 버전을 알려진 안전한 버전으로 고정하십시오.

ChainCatcher 메시지, DuckDB 공식 트위터에 따르면, DuckDB의 Node.js 및 Wasm 소프트웨어 패키지가 최근 npm 공급망 공격에서 악성 소프트웨어에 감염되었다고 합니다. 공식은 조사 후 영향을 받은 버전을 폐기하고 새로운 버전을 발표했습니다. DuckDB는 npm 데이터에 따르면, 현재 영향을 받은 패키지를 다운로드한 사용자는 없다고 밝혔습니다. 팀은 사후 분석 및 대응 조치를 자세히 설명하는 보안 공지를 발표했습니다.