Anthropic AI 编程工具 Claude Code 的 npm 包泄露完整源码

HKMA Warns of Fraudulent Tokens Impersonating Licensed Stablecoin Issuers on April 28

The Hong Kong Monetary Authority (HKMA) issued a public warning on April 28 regarding fraudulent digital tokens circulating under the names of two newly licensed stablecoin issuers. Tokens carrying the tickers "HKDAP" and "HSBC" have appeared in the market without authorization from Anchorpoint

Zondacrypto Customer Data Offered for Sale on Darknet for 550 Euros and 0.6 BTC

据 Bitcoin.pl 称，已倒闭的波兰交易所 Zondacrypto 的客户数据已在暗网上被提供出售，共有两种套餐可选。较小的套餐包含电子邮件地址和基本身份识别数据，售价约为 550 欧元；而较大的数据集——包括身份证件扫描件、验证自拍照、登录历史记录以及钱包地址——费用约为 0.6 BTC。 此次数据泄露发生在 Zondacrypto 本月因流动性问题和储备耗尽而停止提现之后。安全专家警告称，这份完整的数据集可被网络犯罪分子用来实施身份欺诈、开设未获授权的银行账户，或申请贷款。受影响用户被建议更改密码，并启用双重身份验证。

Aftermath Finance 被黑：在 Sui Network 上 36 分钟内盗走 110 万 USDC

据 Blockaid 称，Aftermath Finance 在 Sui Network 上的永续合约协议遭遇了持续攻击，约 110 万 USDC 通过 11 笔交易在 36 分钟内被盗走。该漏洞源自永续合约清算系统中的费用核算缺陷，该缺陷使攻击者能够夸大合成抵押品并从协议的金库中提取资金。

伪装为 AI 工具的 30 个恶意插件在 ClawHub 上被下载超过 9,800 次

据 Manifold 研究员 Ax Sharma 称，ClawHub 上共有 30 个以合法 AI 工具为幌子的插件已被下载超过 9,800 次，同时在暗中将用户的 AI 助手转换为加密货币劳工。这些插件由账号 imaflytok 发布，看起来像常规的任务调度器和监控工具，但其中包含会执行未经授权操作的隐藏指令。 一旦安装，这些插件会自动将用户的 AI 助手注册到第三方服务器，生成加密货币钱包，并在未经用户同意或告知的情况下提取私钥。随后，这些助手每 4 小时“报到”一次，等待任务分配。Sharma 指出，这些插件不包含安全扫描器可检测到的恶意代码，仅使用标准接口和合法工具，因此很难通过常规安全审查识别出来。