パッケージ

Money Todayの報道によると、韓国金融委員会は7月にトークン証券の詳細なルールを発表し、来年2月の実施に向けて準備を進める予定です。同国の金融当局は、複数の基礎資産をパッケージ化してフラグメンテッド投資証券を発行することを許可し、株式や債券などの伝統的な証券のトークン化のロードマップを策定します。金融委員会は、以前は基礎資産をパッケージ化してフラグメンテッド証券を発行することを禁止していたが、今後は一定の範囲内で同類の資産をパッケージ化することを許可する意向を示しています。金融委員会は、市場秩序と投資家保護が基本的な前提であると強調していますが、規制を主とすることはないとしています。フラグメンテッド投資証券の発行プラットフォームの年間投資限度額は1000万から2000万ウォンで、クラウドファンディングは1件あたり500万ウォン、合計1000万ウォンです。非上場株式の店頭取引所の年間売却限度額は3億ウォン、投資契約証券の店頭取引所は4000万ウォンです。

Decrypt の報道によると、マイクロソフトの脅威インテリジェンス部門は、攻撃者が PyPI プラットフォームを通じて配布される Mistral AI ソフトウェアパッケージに悪意のあるコードを埋め込んだことを明らかにしました。この悪意のあるコードは、開発者が Linux システムで使用する際に自動的に実行され、transformers.pyz という名前の悪意のあるファイルをダウンロードし、バックグラウンドで実行します。このファイル名は、広く使用されている Hugging Face Transformers ライブラリを模倣して視覚的に混乱させるように意図されています。マイクロソフトは、この悪意のあるソフトウェアが主に開発者のログイン資格情報とアクセストークンを盗むことを指摘し、ロシア語システムを回避することがあり、一部のコードはイスラエルまたはイランにあるデバイスのファイルをランダムに削除する可能性があると述べています。この攻撃は、9 月に開始された "Shai-Hulud" サプライチェーン攻撃活動に関連しています。Mistral は、調査の結果、攻撃が侵害された開発者のデバイスから発生したことを示しており、同社のインフラは侵害されていないと応じています。

SlowMist CISO 23pds が発表しました。パスワード管理ツール Bitwarden CLI バージョン 2026.4.0 が、米東部時間の 17:57 から 19:30 の間に Checkmarx のサプライチェーン攻撃を受け、攻撃者は Bitwarden CI/CD パイプライン内の GitHub Action を悪用して、悪意のあるパッケージを一時的に npm 経由で配布しました。公式に確認されたところによると、Vault データは漏洩しておらず、製品システムには影響がありませんでした。影響を受けたのは、その時間帯に npm からこのバージョンをインストールしたユーザーのみです。公式は、影響を受けたユーザーに対し、2026.4.0 を直ちにアンインストールし、npm キャッシュをクリアし、API トークンや SSH キーなどの機密資格情報をローテーションし、GitHub と CI の異常な活動を調査し、修正バージョン 2026.4.1 にアップグレードすることを推奨しています。

Onchain Lens の監視によると、Vitalik は再び 14.5 ETH（価値 3 万ドル）の価格で贈与された絵文字トークンを販売し始めました。彼はまた、Railgun に 7 万 USDC と 44 ETH を送信し、私的な資金移動を行いました。

市場の情報によると、Socket は npm コアパッケージ axios の 1.14.1 バージョンが活発なサプライチェーン攻撃に遭遇したことを検出しました。攻撃者は悪意のある依存パッケージを注入し、axios に悪意のあるコードを埋め込みました。axios を使用している開発者は、すぐにバージョンを固定し、プロジェクトのロックファイルを確認することをお勧めします。

ブルームバーグのアナリスト、エリック・バルチュナスは、ソーシャルメディアで、タトルとストライブが共同で発表したT-StriveデジタルクレジットETFが新しい申請書類を提出したと述べました。このETFはDAT社の優先証券を保有します。このT-StriveデジタルクレジットETFは、一連のポートフォリオ型商品で、基礎資産は複数のデジタル資産信託（DAT）の優先証券です。単一の発行者に賭けるのではなく、「DAT優先証券ポートフォリオETF」と理解できます。

Cryptopolitan の報道によると、GhostClaw という名前の新しいマルウェアが macOS デバイス上の暗号財布を標的にしています。このマルウェアは、合法的な OpenClaw CLI ツールに偽装しており、npm レジストリに一週間存在した後、178 人の開発者を感染させた後に削除されました。開発者が "npm install" コマンドを実行すると、隠されたスクリプトがグローバルに GhostClaw パッケージをインストールし、難読化された設定ファイルを通じて検出を回避します。GhostClaw は 3 秒ごとにクリップボードをスキャンし、秘密鍵、リカバリーフレーズ、公開鍵などの暗号財布や取引に関連するデータをキャプチャします。第2段階のペイロードがダウンロードされた後、GhostLoader は Chromium ブラウザ、macOS キーチェーン、およびシステムストレージ内の暗号財布データをスキャンし、ブラウザセッションをクローンしてログイン済みの財布へのアクセスを取得し、OpenAI や Anthropic などの AI プラットフォームに接続する API トークンを盗みます。盗まれたデータは Telegram、GoFile、およびコマンドサーバーを通じて攻撃者に送信されます。

OpenClawの創設者Peter SteinBergerはXプラットフォームで投稿し、チームがOpenClawプラグインシステムをより強力にし、コアシステムをよりスリムに保つ方法を考えていることを示しました。また、Claude CodeとOpenAI Codexプラグインパッケージのサポートを追加する計画があります。彼は次回のOpenClawバージョン更新が今週の日曜日にリリースされる予定であり、新バージョンではユーザーがAIエージェントがタスクを実行している間にいつでも質問できるようになることを明らかにしました。同時に、Peter SteinBergerはXのために開発されたフィルタリング自動タスクが良好に機能していることを明らかにしました。このシステムは5分ごとに実行され、スパム情報やマーケティング返信などのコンテンツを自動的に識別してクリーンアップし、有効なインタラクション体験を向上させます。

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

据 mempool 数据，昨日 22:13:06，某独立比特币矿工成功将区块 924569 打包，获得 3.146 枚 BTC 区块奖励，价值约合 26.45 万美元。mempool のデータによると、昨日 22:13:06 に、ある独立したビットコインマイナーがブロック 924569 を成功裏にパッケージ化し、3.146 BTC のブロック報酬を得て、約 26.45 万ドルの価値を持っています。

ChainCatcher のメッセージによると、DuckDB の公式 Twitter が発表したところによれば、DuckDB の Node.js および Wasm パッケージが最近の npm サプライチェーン攻撃でマルウェアに感染したとのことです。公式は調査を行い、影響を受けたバージョンを廃止し、新しいバージョンをリリースしました。DuckDB は、npm データに基づいて、影響を受けたパッケージをダウンロードしたユーザーはいないと述べています。チームは安全に関する公告を発表し、事後分析および対応策を詳述しています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、独立したマイナーがビットコインのブロックを成功裏に採掘し、3.129 BTC、価値 347,980 ドルを獲得しました。

ChainCatcher のメッセージによると、The Block の報道で、アメリカ証券取引委員会（SEC）の議長ポール・アトキンスは、ワイオミング州のブロックチェーンセミナーで、極めて少数の暗号トークンが証券に該当すると述べ、この立場は前任の議長の態度と対照的であるとしています。アトキンスは、トークン自体が必ずしも証券であるわけではなく、その性質は関連するパッケージや販売方法に依存すると強調しました。SEC は以前に「Project Crypto」プロジェクトを立ち上げ、証券法の現代化を推進し、アメリカの金融市場をブロックチェーンに移行させることを目指しています。アトキンスは、SEC がイノベーションを受け入れ、政府の各部門や議会と協力して、適切な規制を防ぐための枠組みを構築することを表明しました。

ChainCatcher のメッセージによると、mempool データに基づき、今朝 5:43:51 に、ある独立したビットコインマイナーがブロック 907,465 を成功裏にパッケージ化し、3.164 BTC のブロック報酬を獲得し、約 37.58 万ドルの価値を持っています。

ChainCatcher のメッセージによると、mempool データに基づき、今朝ある独立したビットコインマイナーがブロック 903,883 を成功裏にパッケージ化し、3.173 BTC のブロック報酬を獲得しました。これは約 35 万ドルに相当します。

ChainCatcher のメッセージによると、The Block の報道で、CKpool の開発者が明らかにしたところによると、今朝のブロック高 899,826 のパッカーは、算力レンタル戦略を採用した独立したマイナーでした。このマイナーは CKpool の独自のマイニングソフトウェアを使用して、算力を毎週 6.11 PH/s から 261 PH/s に一時的に引き上げ、最終的に約 1/3050 の確率（当時の全ネットワーク算力は 796 EH/s）でブロックを成功裏に掘り出し、3.151 BTC（約 33 万ドル）の報酬を得ました。注目すべきは、これは CKpool の歴史の中で独立したマイナーによって掘り出された 300 番目のブロックであり、類似のケースは今年の 4 月にも発生しており、中小マイナーが柔軟な戦略を通じてビットコインマイニングに参加する可能性を示しています。