LedgerのCTOが、NPMサプライチェーンの侵害による暗号資産セキュリティへの脅威についてユーザーに警告

Bitget App

スマートな取引を実現

Bitget

ニュース

Cointribune2025/09/09 14:35

原文を表示

著者:Cointribune

大規模なサプライチェーン侵害がオープンソースコミュニティを揺るがせています。ハッカーが著名な開発者のNode Package Manager（NPM）アカウントを侵害し、広く使用されているパッケージが影響を受けたことで、JavaScriptエコシステム全体に大きな懸念が広がっています。

LedgerのCTOが、NPMサプライチェーンの侵害による暗号資産セキュリティへの脅威についてユーザーに警告 image 0

LedgerのCTOが、NPMサプライチェーンの侵害による暗号資産セキュリティへの脅威についてユーザーに警告 image 1

要約

ハッカーが著名なNPM開発者アカウントを乗っ取り、JavaScriptコミュニティを危険にさらすサプライチェーン侵害を引き起こしました。
10億回以上ダウンロードされた侵害パッケージにより、エコシステム全体に広範な被害が及ぶ懸念が高まりました。
LedgerのCTOであるCharles Guillemetは、すべてのトランザクションを検証し、安全なディスプレイを備えたハードウェアウォレットの使用を推奨しました。

NPM侵害がウォレットの安全性に懸念をもたらす

Ledgerの最高技術責任者（CTO）であるCharles Guillemetは、脅威の規模を明らかにしました。彼は、主要なNPMアカウントがハイジャックされ、影響を受けたパッケージがすでに10億回以上ダウンロードされていると報告しました。この広がりを考えると、JavaScriptエコシステム全体が危険にさらされている可能性があると述べました。悪意のあるコードは静かに動作し、リアルタイムで暗号通貨アドレスを切り替えて資金を攻撃者に送金する仕組みでした。

Guillemetは注意を呼びかけました。ハードウェアウォレットのユーザーは、承認前にすべてのトランザクションを慎重に検証すれば安全であると説明しました。ソフトウェアウォレットに依存している場合は、状況が明確になるまでオンチェーントランザクションを避けることを推奨しました。また、攻撃者がソフトウェアウォレットからリカバリーシードを直接抽出しようとしているかどうかは、まだ不明であると指摘しました。

開発者がアカウント乗っ取りを確認

この侵害の中心にいるメンテナーであるJosh Junonは、自身のNPMアカウントが侵害されたことを認めました。Blueskyへの投稿で、乗っ取りはフィッシングキャンペーンによるものであったと説明しました。攻撃者は、公式のnpmjs.comサイトに似せた偽のドメイン ‘support [at] npmjs [dot]’ helpを設置していました。

メンテナーたちは、2025年9月10日にアカウントがロックされるという脅迫メールを受け取りました。これらのメッセージには、認証情報を盗むためのフィッシングサイトへのリンクが含まれていました。偽のメールには次のように記載されていました：

アカウントのセキュリティと整合性を維持するため、できるだけ早くこの更新を完了していただくようお願いいたします。2025年9月10日以降、2FA認証情報が古いアカウントは一時的にロックされ、不正アクセスを防止します。

他の開発者も同様の手口で標的にされたと報告し、このフィッシングスキームが単一のメンテナーを超えて広がっていることが確認されました。

NPM侵害への対応と技術的分析

NPMチームは侵害が検出されると迅速に対応し、攻撃者によってアップロードされた悪意のあるバージョンを削除しました。その中には、毎週約3億5700万回ダウンロードされているdebugパッケージのリリースも含まれていました。

さらにAikido Securityによる分析が行われ、調査で以下のことが明らかになりました：

攻撃者はハイジャックしたパッケージのindex.jsファイルに悪意のあるコードを追加しました。これはブラウザインターセプターとして機能し、トラフィックをハイジャックして暗号ユーザーを標的にしました。
マルウェアはブラウザに埋め込まれ、fetch、XMLHttpRequest、window.ethereumやSolanaなどのウォレットAPIの関数にフックし、ウェブやウォレットのアクティビティにアクセスしました。
アクティブになると、Ethereum、Bitcoin、Solana、Tron、Litecoin、Bitcoin Cashのウォレットアドレスをスキャンしました。検出されたアドレスは、攻撃者が管理する類似のアドレスに置き換えられました。
署名前にトランザクションの詳細を改ざんし、受取人や承認、許可を変更してインターフェースは正常に見せかけ、資金を攻撃者に送金しました。
ウォレットが存在する場合は目立つ変更を避け、バックグラウンドで静かに実行し、実際のトランザクションを操作して隠れ続けました。

より強力な対策の呼びかけ

CoinDeskへのコメントで、Guillemetは、侵害されたパッケージを含む分散型アプリケーションやソフトウェアウォレットは安全ではない可能性があり、暗号ユーザーが資金を失うリスクがあると警告しました。最も信頼できる防御策は、Clear Signingをサポートする安全なディスプレイ付きハードウェアウォレットであると強調しました。

この方法により、ユーザーはデバイスの画面上で各トランザクションのアドレスや詳細を直接確認でき、承認する内容が意図と一致していることを確実にできます。

彼はこの状況が重要な実践を思い出させる強い警鐘であると付け加えました：「常にトランザクションを検証し、決して盲目的に署名しないこと。」また、安全性を確保するために安全なディスプレイ付きハードウェアウォレットの使用を推奨しました。

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック