afa

최근 여러 고빈도 npm 패키지, AntV 및 Echarts-for-react와 Python SDK durabletask가 Mini Shai-Hulud "미니 샤이 훌루드" 공급망 공격을 받았다는 위협 정보가 느린 안개에 의해 발표되었습니다. npm 계정 atool이 해킹당했으며, 공격자는 22분 만에 637개의 악성 버전을 자동으로 게시하였고, 이는 317개의 패키지와 관련이 있습니다. 공격자는 35분 내에 durabletask 1.4.1, 1.4.2 및 1.4.3 버전을 연속으로 업로드하여 정상적인 게시 제어를 우회하고 마이크로소프트 공식 게시물로 가장했습니다.GitHub 토큰 대규모 유출 사건과 Grafana Labs의 랜섬웨어 공격은 이 공급망 공격과 관련이 있을 가능성이 높습니다. 영향을 받은 구성 요소에는 npm 생태계의 AntV, Echarts-for-react와 같은 고빈도 구성 요소 및 Python 패키지 durabletask 1.4.1, 1.4.2 및 1.4.3이 포함됩니다. 공격자는 클라우드 및 로컬 자격 증명을 탈취하고, 내부 저장소 및 민감한 클라우드 인프라에 무단으로 접근하며, 개발자 머신 및 CI/CD 파이프라인으로 수평 이동하고, 유출된 GitHub 토큰을 판매 및 활용하며, 랜섬 및 데이터 유출 위협을 실행할 수 있습니다.느린 안개는 모든 노출된 자격 증명을 즉시 교체하고, 영향을 받은 패키지를 교체하며, 감염될 가능성이 있는 시스템을 격리하고, 엄격한 의존성 검토 정책을 시행할 것을 권장합니다. 이전 소식에 따르면, "미니 샤이 훌루드" 웜이 최근 오픈 소스 코드 저장소에서 대규모 감염을 완료했으며, 개발자는 점검에 주의해야 합니다.

오픈 소스 데이터 시각화 도구 Grafana는 5월 16일의 보안 사건 조사에 대한 최신 진행 상황을 발표했습니다. 조사 결과, 이번 사건은 Grafana Labs의 GitHub 환경에 국한되며, 공개 및 비공식 소스 코드와 내부 GitHub 저장소를 포함하고 있으며, 고객의 생산 시스템, 운영 또는 Grafana Cloud 플랫폼에는 영향을 미치지 않았습니다. 다운로드된 내용은 소스 코드를 제외하고, 팀이 내부 운영 정보 및 비즈니스 세부 사항을 협업하고 저장하는 데 사용하는 일부 저장소를 포함하고 있으며, 비즈니스 연락처 이름과 이메일 주소가 포함되어 있지만 생산 시스템이나 클라우드 플랫폼의 데이터는 아닙니다.Grafana Labs는 코드베이스가 다운로드되었지만 변조되지 않았다고 명확히 밝혔으며, 현재 고객과 오픈 소스 사용자는 아무런 조치를 취할 필요가 없습니다. 이 사건은 Mini Shai-Hulud 운동을 통해 발생한 TanStack npm 공급망 공격에서 비롯되었습니다. Grafana Labs는 5월 11일에 악의적인 활동을 감지하고 비상 대응을 시작했지만, 하나의 자격 증명을 누락하여 공격자가 접근 권한을 얻었습니다. 5월 16일에 몸값 요구를 받은 후, 회사는 몸값을 지불하지 않기로 결정했으며, 자동화된 자격 증명을 교체하고, 모니터링을 강화하며, 5월 11일 이후의 모든 제출을 감사하고, GitHub 보안 구성을 대폭 강화했습니다. 회사는 연방 법 집행 기관에 통보했으며, 조사는 계속 진행 중입니다.

오픈 소스 데이터 시각화 도구 Grafana는 X 플랫폼에 게시하여 최근 승인되지 않은 공격자가 Grafana Labs GitHub 환경에 접근할 수 있는 토큰을 획득하고 이를 통해 코드 저장소를 다운로드한 사실을 발견했다고 밝혔습니다.조사 결과, 이번 사건은 고객 데이터나 개인 정보 유출과 관련이 없으며, 고객 시스템이나 비즈니스 운영에 영향을 미친 사실도 발견되지 않았습니다. 사건 발생 후 즉시 증거 분석을 시작하였으며, 인증서 유출의 원인을 파악한 것으로 보이며, 환경 보호를 강화하기 위해 추가 보안 조치를 배포하였습니다.또한, Grafana는 공격자가 코드 저장소가 공개되는 것을 막기 위해 랜섬을 요구하려 했으나, 회사는 최종적으로 랜섬 지급을 거부하기로 결정하였으며, 조사가 끝난 후 사건 재조명에 대한 추가 정보를 발표할 예정입니다.

시장 소식에 따르면, 머스크가 소유한 SpaceX가 텍사스주 Terafab 슈퍼 공장에 550억 달러를 투자할 계획이다.

BTCC 거래소는 아르헨티나 축구 협회(AFA)와 전략적 협력을 체결하고, 공식적으로 아르헨티나 국가대표팀의 공식 지역 파트너가 되었다고 발표했다. 이번 협력은 2026년 국제 축구 연맹 월드컵(FIFA World Cup) 전 주기를 포함할 예정이다.BTCC는 이번 협력을 통해 글로벌화 배치를 심화하고, 거래 생태계를 완비하며, 사용자 신뢰를 강화할 것이라고 밝혔다. 또한 사용자에게 서명된 유니폼 추첨 및 거래 대회 등의 일련의 활동을 선보일 예정이다. BTCC는 2011년에 설립되어 세계에서 가장 오래된 암호화폐 거래소 중 하나이다.

ChainCatcher 메시지에 따르면, Chainwire는 AI 기반의 암호화폐 교육 및 거래 지원 플랫폼 Cointel이 오늘 740만 달러의 전략적 자금을 완료했다고 발표했습니다. Layer 1 블록체인 Avalanche와 일본의 유명한 Web 3 혁신 기업 Sugafam Inc.가 공동으로 주도했습니다.새로운 자금은 신규 사용자와 데이터 기반 거래자의 요구를 충족하기 위해 확장 가능한 플랫폼 구축을 지원할 것입니다.

ChainCatcher 메시지, Grafana 공식 X 계정에서 발표한 바에 따르면, 현재 조사 결과 어떤 코드가 수정되었거나, 생산 시스템이 무단 접근을 당했거나, 고객 데이터가 노출되었거나, 개인 정보가 접근된 증거는 발견되지 않았다고 합니다.이전 보도, 느린 안개가 오픈 소스 데이터 시각화 도구 Grafana가 해킹당했을 가능성을 감지했으며, 공격자가 악성 코드를 심었을 수 있습니다.

ChainCatcher 메시지에 따르면, 느린 안개 기술의 최고 정보 보안 책임자 23pds가 X 플랫폼에 글을 올리며, 오픈 소스 데이터 시각화 도구 Grafana가 최근 공격을 받은 것으로 보인다고 전했습니다. 공격자는 Gato-X를 사용하여 기밀 서명을 훔치고, App 토큰으로 여러 코드 저장소에 공격을 감행했습니다. 이 작업 흐름에는 관련된 애플리케이션 비밀 키가 있을 수 있으며, 공격자는 정교하게 설계된 브랜치 이름을 사용하여 JavaScript 코드를 주입하고 기밀 정보를 훔친 것으로 의심됩니다.

ChainCatcher 메시지, Web3 분석 플랫폼 Safary가 240만 달러 Pre-Seed 라운드 자금을 완료했다고 발표했습니다. Lemniscap이 주도하고, Arca, SevenX, Big Brain Holdings, Saison Capital, Diaspora Ventures 및 20명의 Web3 엔젤 투자자(그 중 14명은 Safary 커뮤니티의 회원)가 참여했습니다.

ChainCatcher 메시지, 오케이엑스 OKX 글로벌 브랜드 앰배서더에 새로운 멤버가 추가되었습니다. 유명 가수이자 배우인 Ali Zafar가 오케이엑스 OKX 글로벌 브랜드 앰배서더로 합류하며, 남아시아와 중동에서 열리는 오케이엑스 OKX의 Web3 시리즈 이벤트에 참여할 예정입니다.Ali Zafar는 세계적인 Web3 기술 회사인 오케이엑스 OKX와 협력하게 되어 기쁘다고 밝혔습니다. Web3와 블록체인 기술은 예술 창작과 전파 방식을 변화시키고 있으며, 이는 전 세계의 배우와 음악가들이 팬들과 더 직접적이고 개방적인 방식으로 소통할 수 있게 하여 팬들에게 새로운 경험을 제공합니다. 또한, OKX의 최고 마케팅 책임자 Haider Rafique는 최고의 아티스트 Ali Zafar가 오케이엑스 OKX 글로벌 브랜드 앰배서더가 된 것은 놀라운 이정표라고 말하며, Ali Zafar는 남아시아와 중동 등 전 세계에 충성도 높은 팬층을 보유하고 있어 오케이엑스 OKX Web3 제품과 Web3 새로운 경험을 더 많은 사용자에게 전달할 수 있습니다.

ChainCatcher 메시지에 따르면, 느린 안개 뉴스에 따르면, Grafana에서 심각한 보안 경고를 발표했습니다. 계정 탈취 및 인증 우회 취약점(CVE-2023-3128)이 존재하며, 현재 PoC가 인터넷에 공개되어 공격 사례가 발생했습니다.Grafana는 크로스 플랫폼, 오픈 소스 데이터 시각화 웹 애플리케이션 플랫폼으로, 사용자가 연결된 데이터 소스를 구성한 후 Grafana는 웹 브라우저에서 데이터 차트와 경고를 표시할 수 있습니다. Grafana는 이메일 요청에 따라 Azure Active Directory 계정을 검증합니다. Azure AD에서는 프로필의 이메일 필드가 Azure AD 테넌트 간에 고유하지 않습니다. Azure AD OAuth와 다중 테넌트 Azure AD OAuth 애플리케이션이 함께 구성될 경우, 이는 Grafana 계정이 탈취되고 인증이 우회될 수 있습니다. 이 중 Grafana >= 6.7.0이 영향을 받습니다.암호화폐 산업에는 서버 성능 모니터링을 위해 이 솔루션을 채택한 플랫폼이 많으니, 위험에 유의하고 Grafana를 최신 버전으로 업그레이드하시기 바랍니다. (출처 링크)

ChainCatcher 메시지, OKX가 암호화폐 거래 로봇 제공업체 Tafabot와 협력하여 OKX 사용자들이 현물, 선물 및 차익 거래에서 더 많은 로봇 선택을 이용할 수 있게 하여, 사용자가 상승, 하락 또는 횡보 시장 조건에 적합한 다양한 암호화폐 거래 로봇 옵션을 사용하여 거래를 실행할 수 있도록 돕습니다.（출처 링크）

ChainCatcher 메시지에 따르면, 공식 발표에 따라 Bitget은 Launchpad를 재개한다고 발표했습니다. 첫 번째 프로젝트인 PandaFarm은 Arbitrum에서의 GameFi 프로젝트로, 생태 토큰 BBO는 PandaFarm에서 팬더를 입양하고, 팬더를 교환하며, 게임에 참여하고 고급 기능을 사용하는 데 사용될 수 있습니다.전해진 바에 따르면, BBO의 총 공급량은 1억이며, Launchpad의 총 배정량은 100만입니다. 베이징 시간 2월 16일 19:00부터 Launchpad에 등록하면 토큰 판매 활동에 참여할 자격을 얻을 수 있습니다. BBO/USDT 현물 거래는 베이징 시간 2월 20일 20:00에 시작됩니다.（출처 링크）