NPMサプライチェーン攻撃：主要取引所が危機を回避するも、暗号資産ユーザーは依然としてリスクにさらされる

世界最大の出来高を誇る暗号通貨取引所は、火曜日に顧客に対し、JavaScriptエコシステムにおいて最も重要なサプライチェーン攻撃の一つと呼ばれる中で、彼らのデータと資産が安全であることを保証しました。

ソーシャルメディアに投稿された声明によると、取引所は、20億以上の週間アプリダウンロードに関与する広く使用されているNode.jsパッケージを標的とした侵害の間に、そのデータベースに損害がないことを確認しました。

“最近のサプライチェーン攻撃によって、広く使用されているいくつかのJavaScriptパッケージの悪意のあるバージョンが公開されていることを認識しています,” と会社は書いています。 “調査の結果、私たちは影響を受けておらず、顧客データや資産が危険にさらされていることは確認していません。セキュリティは私たちの最優先事項であり、この侵害はサプライチェーンセキュリティの重要性を思い出させます。安全であり続けてください。”

暗号空間の著名な人物がソーシャルプラットフォームでコメントしました。「最近ではオープンソースソフトウェアでさえ安全ではありません。Web3はWeb2のセキュリティを再定義します。まだ早いです。」

JavaScriptパッケージ攻撃が暗号コミュニティに恐怖をもたらす

セキュリティ研究者によってNPMの歴史の中で最大の攻撃の一つと説明されたこの攻撃は、9月8日に発生しました。ハッカーは、公式のnpmjsの通信を偽装した高度なフィッシングメールを通じて、信頼されたオープンソースのメンテナー「qix」のアカウント(Josh Junon)を侵害しました。

攻撃者がジュノンを、2025年9月10日にアカウントがロックされるという偽の警告で簡単に操ったことが気持ち悪いです。彼はすぐに二要素認証の認証情報を更新しなければなりませんでした。

“アカウントのセキュリティへの継続的なコミットメントの一環として、すべてのユーザーに二段階認証(2FA)の認証情報を更新するようお願いしています。私たちの記録によると、最後の2FAの更新から12ヶ月以上が経過しています,” とその不正なメールは述べています。

Junonは後に、別のメンテナーが彼のNPMアカウントが「バックドア付きのパッケージを投稿している」と明らかにした後、フィッシングスキームの犠牲になったことをソーシャルメディアで認めました。これにより攻撃者は彼のアカウントをハイジャックし、chalk、debug、ansi-styles、strip-ansiを含む18の人気Node.jsライブラリに悪意のある更新をプッシュすることができました。

特にターゲットとされた暗号取引

Aikido Securityによる分析では、攻撃者が侵害されたパッケージにブラウザベースの傍受を可能にするコードを注入したことが明らかになりました。悪意のあるコードはindex.jsファイルに隠されており、影響を受けたパッケージを使用する任意のアプリケーションのネットワークトラフィックやアプリケーションAPIを静かに監視することができました。

このスクリプトは、ビットコイン、イーサリアム、ソラナ、トロン、ライトコイン、ビットコインキャッシュに関与するウォレットアドレスと取引を特に監視します。検出されると、攻撃者が制御する宛先ウォレットアドレスに静かに置き換え、被害者の知らないうちに資金をリダイレクトします。

ハードウェアウォレットメーカーのCTOは、悪意のあるコードがすでに10億以上のダウンロードを持つパッケージに広がっていると報告しました。

ブロックチェーン分析会社のArkham Intelligenceは、月曜日の遅くに、セキュリティ研究者によって特定されたアドレスに追跡された暗号通貨がこれまでに$159 の価値しか盗まれていないと報告しました。

しかし、この巧妙に低い数字が、侵害されたパッケージに関連する数十億のダウンロードを考えると、真の潜在的な損害を隠しているのではないかと心配しています。初期の盗難が遅いということは、もっと大きな嵐の前の静けさを表しているだけかもしれません。