pm

The Block에 따르면, JPMorgan 분석가는 최신 보고서에서 Strategy가 이전에 32개의 비트코인을 판매한 것이 시장의 변동성을 일으켰지만, 이는 상징적인 조치일 뿐이며 진짜 문제는 새로운 투자자 수요의 부족이라고 밝혔습니다.보고서는 Strategy의 현재 달러 준비금이 약 6.3개월의 우선주 배당금을 지급하기에 충분하다고 지적하며, 투자자 신뢰를 회복하기 위해 달러 준비금을 재건할 것을 권장했습니다. JPMorgan은 또한 미국 암호화 시장 구조 법안(Clarity Act)이 올해 통과될 가능성이 50% 이하로 낮아졌다고 전망하며, 디지털 자산 전체에 대해 신중한 태도로 전환했습니다.그럼에도 불구하고, 분석가는 Strategy가 계속해서 비트코인을 매입할 것으로 예상하며, 현재 시장의 약세가 미래의 강세 반전 신호가 될 수 있다고 생각하고 있습니다.

BBX 데이터에 따르면, 어제 비트코인은 연중 최저치인 $61,300으로 하락했으며, 암호화폐 관련 주식 섹터는 압박을 받고 있습니다. 기관과 입법 부문에서 중요한 신호가 나타났으며, 핵심 동향은 다음과 같습니다:Strategy, Inc. (NASDAQ: $MSTR) 창립자 Michael Saylor는 6월 4일 공개적으로 비트코인의 현재 하락이 BTC 기본면 악화에서 비롯된 것이 아니라 자본이 비트코인에서 AI 주식, SpaceX IPO 및 기타 신흥 자산으로의 "단계적 순환" 때문이라고 밝혔습니다. ------ "비트코인은 문제가 있는 것이 아니라(고장난 것이 아니라), 단지 일시적으로 모멘텀 거래의 주인공이 아니다." Saylor는 또한 지속적인 매수 입장을 재확인했습니다. 이전에 Strategy는 5월 11일부터 17일까지 단주에 약 $20.1억(평균가 $80,985)으로 24,869 BTC를 추가 매수했으며, 최신 공개 기준 총 보유량은 843,738 BTC, 총 비용은 약 $638.7억(평균가 $75,700)입니다. 현재 BTC는 비용선인 $12,300을 하회하고 있으며, 회사의 모든 보유는 장부상 손실 상태에 있지만, 경영진은 어떤 매도 의도도 공개하지 않았습니다.JPMorgan Chase & Co. (NYSE: $JPM)는 CoinDesk 6월 4일 보도를 인용하여, 최신 연구 보고서에서 경고했습니다: CLARITY 법안이 상원 전체 투표를 위한 입법 시간 창이 "빠르게 좁아지고 있다"며, 스테이블코인 수익 조항의 문구 차이가 법안의 가장 중요한 미결 장애물로 발전했다고 합니다. ------ 은행업계는 "수동 수익"에 대한 제한을 유지하려 하고, 암호화폐 산업은 "활동 유인 공간"을 확보하기 위해 노력하고 있으며, 이 두 사이의 게임이 이번 달 내에 타협에 도달하지 못할 경우, 상원이 7월 4일 이전에 60표 투표를 완료할 시간표는 완전히 무효화될 것입니다. 보고서는 또한 SpaceX IPO와 AI 주식의 자금 흡입 효과가 단기적으로 기관의 BTC 배치 의지를 더욱 억제하고 있다고 지적했습니다.

슬로우 후드 모니터링에 따르면, IronWorm이라는 이름의 새로운 Rust 공급망 악성 소프트웨어 활동이 악성 npm 패키지를 통해 개발자 환경과 Web3 생태계를 공격하고 있습니다. 잠재적인 공격 행동에는 자격 증명 도용, 지갑 니모닉 및 비밀번호 도용, GitHub 저장소 변조, 악성 패키지 배포, CI/CD 비밀 유출, Tor 기반 명령 제어 및 eBPF 루트킷 은폐가 포함됩니다.보안 팀은 저장소의 회귀 커밋, 의심스러운 브랜치, 예기치 않은 빌드 훅 및 claude, dependabot, renovate 또는 github-actions와 같은 자동화된 신원 확인의 커밋을 감사해야 합니다. 영향을 받은 패키지 버전을 제거하거나 폐기하고, 깨끗한 버전을 게시하며, 모든 유출된 키와 토큰을 교체하고, GitHub Actions 구성 요소를 검토하고, 깨끗한 이미지에서 손상된 개발 또는 CI 시스템을 재구성할 것을 권장합니다.

슬로우미스트(SlowMist)가 보안 경고를 발표했습니다. @redhat-cloud-services와 관련된 소프트웨어 패키지를 목표로 하는 활성 npm 공급망 공격이 감지되었습니다. 현재 31개 이상의 패키지가 영향을 받는 것으로 확인되었으며, 주간 다운로드 수는 약 116,000회에 달하고, 300개 이상의 GitHub 저장소에서 도난당한 자격 증명이 존재합니다. 이 공격 기법은 이전의 "Shai-Hulud" npm 공격과 매우 유사하며, 자격 증명 탈취, 악성 저장소 생성 및 자동화된 비밀 유출을 포함합니다. 현재도 새로운 의심스러운 저장소가 지속적으로 나타나고 있어 공격이 계속 진행 중임을 나타내며, 개발자들이 지속적으로 감염되고 있습니다.잠재적 위험에는 GitHub/npm 토큰 도난, AWS/GCP/Azure 클라우드 자격 증명 유출, SSH 키 및 Kubernetes 비밀 수집, 로컬 환경 및 지갑 데이터 유출, 악성 저장소 생성 및 지속적인 작업, 심지어 토큰이 해지된 후 파괴적인 행동을 유발할 수 있는 가능성이 포함됩니다. 영향을 받는 @redhat-cloud-services 패키지 버전을 즉시 제거하거나 다운그레이드하고, CI/CD 워크플로우 및 의존성 설치를 전면 감사하며, 모든 GitHub, npm, 클라우드 서비스, SSH 및 지갑 관련 키를 교체하고, 로그를 보관하며, 깨끗한 이미지에서 노출된 개발자 머신이나 러너를 재구성하고, 높은 경계를 유지할 것을 권장합니다.

느린 안개에 따르면, 보안 기관 MistEye가 하나의 교차 등록 공급망 공격 사건을 감지했습니다. 공격자는 npm, PyPI 및 crates.io에 악성 소프트웨어 패키지를 게시하여 암호화폐, DeFi, Solana, Sui/Move 및 AI 분야의 개발자를 겨냥했습니다. 이 공격 활동에는 34개 이상의 악성 소프트웨어 패키지와 384개 이상의 관련 버전이 포함되어 있습니다. 공격자는 암호화폐 지갑, SSH 키, 클라우드 자격 증명, GitHub/AWS 토큰, 브라우저 데이터, 환경 변수 및 개발자의 기밀 정보를 도용할 수 있습니다.일부 악성 페이로드는 .cursorrules, CLAUDE.md, Git 훅, 셸 훅, cron, systemd 및 SSH를 통해 지속적인 거주를 시도했습니다. 개발자에게는 즉시 영향을 받는 소프트웨어 패키지를 제거하고, 영향을 받는 시스템을 격리하며, 로그를 보존하고, 노출된 자격 증명을 교체하고, 깨끗한 이미지로 CI 실행 환경과 개발자 머신을 재구성하며, GitHub, 클라우드 서비스, SSH 및 지갑 활동 기록을 검토할 것을 권장합니다.

블록체인 보안 기관 SlowMist (@SlowMist_Team) 산하 위협 모니터링 시스템 MistEye의 모니터링에 따르면, "Mini Shai-Hulud"라는 이름의 고도로 복잡한 npm 웜이 TanStack, UiPath, DraftLab 등 유명 개발자 프로젝트를 통해 퍼지고 있습니다. 공격자는 GitHub 자격 증명을 탈취하여 합법적인 업데이트로 위장한 악성 소프트웨어 패키지를 배포하고, 그 안에 숨겨진 스크립트 router_init.js를 삽입하여 GitHub Actions와 같은 CI/CD 환경에서 조용히 실행되며, CI/CD 키, 클라우드 인프라 키 및 암호화폐 지갑 정보를 전문적으로 탈취하고 GitHub 자체 인프라를 이용해 데이터를 유출합니다.SlowMist는 고객에게 관련 위협 정보 (IOC)를 동기화했으며, 영향을 받은 소프트웨어 패키지를 사용하는 프로젝트는 즉시 CI/CD 파이프라인에 router_init.js 파일이 있는지 점검하고, 노출된 모든 GitHub, 클라우드 서비스 및 암호화폐 자격 증명을 교체하며, 개발 환경에서 비정상적인 백그라운드 활동을 지속적으로 모니터링할 것을 권장합니다.

코인텔레그래프에 따르면, JP모건은 올해 Kinexys를 통해 JPM 코인을 Canton 네트워크로 확장할 예정이며, 이 네트워크는 현재 매일 3,500억 달러 이상의 미국 국채 환매 결제를 처리하고 있습니다.

아르헨티나 국내 일부 은행이 기관 사용자를 위해 모건 스탠리가 설계한 예치 토큰 JPM Coin의 테스트를 시작했습니다. 현재 Banco CMF는 확인된 참여자 중 하나로, 이 금융 기관은 JPM Coin을 후방 정산 작업 흐름에 사용하여 정산 속도와 효율성을 높일 것으로 예상하고 있습니다.

공격자가 JavaScript에서 가장 인기 있는 HTTP 클라이언트 라이브러리 Axios의 수석 유지 관리자의 npm 접근 토큰을 탈취하고, 해당 토큰을 이용해 크로스 플랫폼 원격 접근 트로이 목마(RAT)가 포함된 두 개의 악성 버전(axios@1.14.1 및 axios@0.3.4)을 배포했습니다. 이들은 macOS, Windows 및 Linux 시스템을 대상으로 하였습니다. 악성 패키지는 npm 레지스트리에서 약 3시간 동안 생존한 후 제거되었습니다.보안 회사 Wiz의 데이터에 따르면, Axios는 매주 1억 회 이상 다운로드되며, 약 80%의 클라우드 및 코드 환경에 존재합니다. 보안 회사 Huntress는 악성 패키지가 온라인에 올라온 지 89초 만에 첫 번째 감염을 감지하였고, 노출 기간 동안 최소 135개의 시스템이 침해되었음을 확인했습니다. 주목할 점은 Axios 프로젝트가 이전에 OIDC 신뢰할 수 있는 배포 메커니즘과 SLSA 추적 증명과 같은 현대적인 보안 조치를 배포했지만, 공격자가 이러한 방어선을 완전히 우회했다는 것입니다. 조사 결과, 프로젝트가 OIDC를 구성하는 동시에 전통적인 장기 유효 NPM_TOKEN을 유지하고 있었으며, npm은 두 토큰이 공존할 때 기본적으로 전통적인 토큰을 우선 사용하여 공격자가 OIDC를 우회하여 배포를 완료할 수 있었습니다.

느림안개가 다시 안전 경고를 발표하며 axios 악성 버전 및 OpenClaw npm 전역 설치 이력 노출 위험을 주의하라고 알렸습니다. axios@1.14.1과 axios@0.3.4는 악성 버전으로 확인되었으며, 두 버전 모두 plain-crypto-js@4.2.1에 의존성이 심어져 있으며, postinstall 스크립트를 통해 크로스 플랫폼 악성 페이로드를 전달합니다.OpenClaw의 영향을 받는 상황은 시나리오에 따라 판단됩니다: 소스 코드 빌드는 영향을 받지 않으며, 잠금 파일이 1.13.5/1.13.6 버전을 고정하고 있기 때문입니다. 그러나 npm install -g openclaw@2026.3.28로 설치한 사용자에게는 이력 노출 위험이 존재합니다. 그 이유는 의존성 체인에 optionalDependencies.axios@^1.7.4가 존재하여, 악성 버전이 여전히 온라인인 시간 창 내에 axios@1.14.1로 해석될 수 있기 때문입니다. 현재 npm은 axios@1.14.0으로 해석을 되돌렸지만, 공격 창 내에 설치된 환경은 여전히 점검을 권장합니다. 느림안개는 각 플랫폼의 점검 명령과 IoC 경로를 제공했으며, plain-crypto-js 디렉토리가 존재하는 경우, package.json이 정리되었더라도 고위험 실행 흔적으로 간주해야 합니다. 영향을 받은 호스트는 즉시 자격 증명을 교체하고 호스트 측 점검을 진행할 것을 권장합니다. 이전 소식에 따르면, 느림안개 창립자 유선은 OpenClaw 3.28 버전이 악성 버전의 axios를 도입할 수 있다고 경고하며, 사용자는 긴급 점검이 필요하다고 밝혔습니다.

시장 소식에 따르면, Socket이 npm 핵심 패키지 axios의 1.14.1 버전에서 활발한 공급망 공격을 감지했습니다. 공격자는 악성 의존성 패키지를 주입하여 axios에 악성 코드를 심었습니다. axios를 사용하는 개발자는 즉시 버전을 고정하고 프로젝트 잠금 파일을 검토할 것을 권장합니다.

금십 보도에 따르면, 스탠다드 앤드 푸어스 글로벌 마켓 인텔리전스의 수석 상업 경제학자 크리스 윌리엄슨은 3월 초 PMI 지수 조사 데이터가 미국 경제 성장 둔화와 인플레이션 상승 상황이 우려스럽다고 밝혔다. 기업들은 갈등으로 인한 불확실성과 생활비가 수요에 영향을 미쳤다고 보고했으며, 금융 시장의 불안과 지불 능력 제한이 이러한 상황을 악화시켰다. 조사에 따르면, 소비자 물가 인플레이션이 약 4%로 상승하여 미국이 스태그플레이션 위험에 직면할 수 있음을 암시하며, 연방준비제도는 인플레이션 상승 위험과 경제 성장 동력 약화 사이에서 균형을 맞춰야 한다.

소형 생명공학 회사 NovaBay Pharmaceuticals가 Stablecoin Development Corporation으로 이름을 변경하고, 주식 코드는 NBY에서 SDEV로 변경한다고 발표했습니다. 새로운 코드는 4월 3일부터 공식 거래될 예정입니다. 이 소식이 발표된 후, 회사 주가는 하루 만에 19% 상승하여 약 1.4달러에 도달했지만, 연초 이후로는 여전히 95% 이상 하락했습니다.회사는 3월 16일 기준으로 약 20.6억 개의 SKY 토큰을 보유하고 있으며, 시가총액은 약 1.5억 달러로 총 공급량의 약 8.8%를 차지하고 있습니다. 또한 스테이킹을 통해 약 2,660만 개의 토큰 보상을 누적하여 얻었습니다. SKY는 MakerDAO 생태계의 리브랜딩 후 Sky 프로토콜의 거버넌스 토큰입니다. 위의 보유량은 올해 1월에 완료된 1.34억 달러의 사모 펀딩에서 비롯된 것으로, 투자자는 Framework Ventures, Tether Investments 및 Sky Frontier Foundation을 포함합니다. 회사는 "온체인 지주회사" 모델로 전략적 위치를 설정하고, 프로토콜 레이어 활동에 장기적으로 참여하는 것을 핵심으로 삼고 있으며, 현재 SKY는 그 프레임워크 하에 유일하게 승인된 디지털 자산입니다.

Cryptopolitan에 따르면, GhostClaw라는 이름의 새로운 악성 소프트웨어가 macOS 장치의 암호화 지갑을 겨냥하고 있습니다.이 악성 소프트웨어는 합법적인 OpenClaw CLI 도구로 가장하여 npm 레지스트리에 일주일 동안 존재하다가 178명의 개발자를 감염시킨 후 제거되었습니다. 개발자가 "npm install" 명령을 실행하면, 숨겨진 스크립트가 GhostClaw 패키지를 전역으로 설치하고 혼란스러운 설정 파일을 통해 탐지를 피합니다. GhostClaw는 3초마다 클립보드를 스캔하여 개인 키, 니모닉, 공개 키 등 암호화 지갑 및 거래 관련 데이터를 캡처합니다.두 번째 단계의 페이로드가 다운로드된 후, GhostLoader는 Chromium 브라우저, macOS 키체인 및 시스템 저장소에서 암호화 지갑 데이터를 스캔하고, 브라우저 세션을 복제하여 로그인된 지갑에 대한 접근 권한을 얻으며, OpenAI 및 Anthropic과 같은 AI 플랫폼에 연결된 API 토큰을 훔칩니다. 훔친 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다.

공식 소식에 따르면, Hyperliquid의 원주 안정화폐 USDH 발행사 Native Markets가 토큰화된 마진 pmUSDH를 출시할 예정입니다.사용자가 투자 포트폴리오 마진 계좌에 USDH를 입금하면, 프로토콜은 해당 포지션을 ERC-20 형식의 pmUSDH 토큰으로 전환합니다. 이 토큰화는 대출자가 지급하는 이자 수익을 얻을 수 있으며, 또한 Felix, Hyperlend, Pendle, Rysk를 포함한 DeFi 프로토콜에서 사용할 수 있습니다.

투자자들이 화요일 미국 캘리포니아 북부 연방 지방 법원에 집단 소송을 제기하며 JPMorgan이 이미 파산한 Goliath Ventures가 운영하는 3억 2800만 달러 규모의 암호화폐 폰지 사기를 막지 못하고 해당 회사가 은행 기반 시설을 이용해 투자자 자금을 수취하도록 허용했다고 주장했습니다.소장에 따르면, JPMorgan은 2023년 1월부터 2025년 5월 또는 6월 사이에 Goliath에 유일한 은행 서비스를 제공했으며, Goliath는 2000명 이상의 투자자를 통해 최소 3억 2800만 달러를 확보했습니다. 이 중 약 2억 5300만 달러는 JPMorgan의 0305 계좌에 예치되었고, 약 1억 2300만 달러는 Goliath가 Coinbase에서 보유하고 있는 지갑으로 이체되었습니다.이전에 미국 플로리다주 중부 연방 검찰청은 2월 24일 Goliath CEO Christopher Delgado를 체포했다고 발표했으며, 그는 최대 30년의 연방 감옥형에 직면해 있습니다. 검찰은 Goliath(구 Gen-Z Venture Firm)가 2023년 1월부터 2026년 1월까지 이 사기를 운영했다고 밝혔습니다. 또 다른 형사 소장에 따르면, Goliath는 Bank of America에 상업 계좌를 보유하고 있으며, Delgado는 해당 계좌의 공동 서명자입니다.

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

시장 소식에 따르면, 나스닥 상장된 솔라나 재무 회사 DeFi Development는 전략적 투자 안정화 코인 프로토콜 개발 프로젝트 Apyx 이후 배당형 안정화 코인을 출시할 계획이라고 발표했습니다. 이는 안정화 코인 시장에 투명한 수익을 도입하기 위한 것입니다. 양측은 또한 토큰 경제학, 가치 평가 프레임워크 및 개발 로드맵, 그리고 디지털 자산 재무(DAT) 배당 우선주 활용 방법에 대해 논의했습니다.