全球 JavaScript 生態は史上最大規模の NPM サプライチェーン攻撃に直面しています。ハッカーは著名な開発者の Node Package Manager (NPM) アカウントに侵入し、悪意のあるコードを数百万のアプリケーションが依存するコア JavaScript ライブラリに注入しました。ターゲットは暗号資産ユーザーのウォレット資金に直指しています。### **攻撃詳細:コアライブラリに「暗号クリッパー」が埋め込まれました**多方面のセキュリティレポートによると、影響を受けたパッケージには、chalk、strip-ansi、color-convertなどの小型ユーティリティが含まれており、数多くのプロジェクトの依存ツリーに深く埋もれていて、毎週10億回以上ダウンロードされています。悪意のある機能:取引の過程でこっそりと暗号ウォレットアドレスを置き換える(俗に「暗号クリッパー」と呼ばれる)潜在的なリスク:ユーザーが知らないうちに、資金をハッカーが制御するアドレスに転送することLedgerの最高技術責任者チャールズ・ギルメットは警告した。「JavaScriptのエコシステム全体が危険にさらされている可能性がある。」### **暗号化ユーザーが高危険ターゲットになる**セキュリティ研究者は、ソフトウェアウォレットに依存するユーザーが最もリスクが高いと指摘しています。なぜなら、悪意のあるコードがウェブページやアプリケーションで取引の詳細を改ざんする可能性があるからです。ハードウェアウォレットのユーザーは比較的安全です。なぜなら、各取引は物理デバイス上で確認する必要があるからです。DefiLlamaの創設者0xngmiは、悪意のあるコードはウォレットを自動的に空にすることはないが、ユーザーが「交換」や「確認」をクリックした際に取引内容を改ざんする可能性があると警告しています。ユーザーがどのウェブサイトが安全なバージョンに更新されたかを容易に識別できないため、専門家は影響を受けたパッケージが完全にクリーンアップされるまで、安全性が不確かなウェブサイトでの暗号取引を一時停止することを推奨しています。### **攻撃手法:フィッシングメールでメンテナーアカウントを奪取**! 【JavaScript開発者へのフィッシングメール】(https://img-cdn.gateio.im/social/moments-87a9b3933a-af8b83d1be-153d09-6d2ef1)(出典:Github)攻撃者は公式NPMがサポートするフィッシングメールに偽装し、メンテナーを偽のウェブサイトで二段階認証を更新させることで、ログイン認証情報を盗みました。アカウントの制御権を取得した場合、ハッカーはダウンロード数が数十億回に達するパッケージに悪意のある更新をプッシュすることができます。合気道セキュリティの研究者チャーリー・エリクソンは、今回の攻撃の危険な点は「ウェブサイトの表示内容、API コール、そしてユーザーアプリケーションが署名していると思っている取引データを同時に改ざんできる」ということだと述べています。### **なぜこれが「史上最大のサプライチェーン攻撃」なのか?**影響範囲が広い:数百万のアプリケーションやウェブサイトに影響を及ぼす浸透深度が高い:コアライブラリは依存チェーンの底層に位置しており、直接インストールされていなくても影響を受ける可能性があります。ターゲットが明確:暗号取引とウォレット資金を専門にロックするこれは、フロントエンド開発者から最終ユーザーまで、全体のチェーンが攻撃の対象となる可能性があることを意味します。### **结语**このNPMサプライチェーン攻撃は、オープンソースエコシステムの脆弱性と暗号市場の高リスク性を再び浮き彫りにしました。開発者にとっては、すぐに安全なバージョンにチェックし、ロールバックする必要があります。暗号ユーザーにとっては、短期間は安全性が不確かなウェブサイトでの取引を避け、できるだけハードウェアウォレットを使用して資産管理を行うべきです。
史上最大 NPM サプライチェーン攻撃!コア JS ライブラリが侵害され、暗号化ユーザー資金が奪われる恐れがある
全球 JavaScript 生態は史上最大規模の NPM サプライチェーン攻撃に直面しています。ハッカーは著名な開発者の Node Package Manager (NPM) アカウントに侵入し、悪意のあるコードを数百万のアプリケーションが依存するコア JavaScript ライブラリに注入しました。ターゲットは暗号資産ユーザーのウォレット資金に直指しています。
攻撃詳細:コアライブラリに「暗号クリッパー」が埋め込まれました
多方面のセキュリティレポートによると、影響を受けたパッケージには、chalk、strip-ansi、color-convertなどの小型ユーティリティが含まれており、数多くのプロジェクトの依存ツリーに深く埋もれていて、毎週10億回以上ダウンロードされています。
悪意のある機能:取引の過程でこっそりと暗号ウォレットアドレスを置き換える(俗に「暗号クリッパー」と呼ばれる)
潜在的なリスク:ユーザーが知らないうちに、資金をハッカーが制御するアドレスに転送すること
Ledgerの最高技術責任者チャールズ・ギルメットは警告した。「JavaScriptのエコシステム全体が危険にさらされている可能性がある。」
暗号化ユーザーが高危険ターゲットになる
セキュリティ研究者は、ソフトウェアウォレットに依存するユーザーが最もリスクが高いと指摘しています。なぜなら、悪意のあるコードがウェブページやアプリケーションで取引の詳細を改ざんする可能性があるからです。
ハードウェアウォレットのユーザーは比較的安全です。なぜなら、各取引は物理デバイス上で確認する必要があるからです。
DefiLlamaの創設者0xngmiは、悪意のあるコードはウォレットを自動的に空にすることはないが、ユーザーが「交換」や「確認」をクリックした際に取引内容を改ざんする可能性があると警告しています。
ユーザーがどのウェブサイトが安全なバージョンに更新されたかを容易に識別できないため、専門家は影響を受けたパッケージが完全にクリーンアップされるまで、安全性が不確かなウェブサイトでの暗号取引を一時停止することを推奨しています。
攻撃手法:フィッシングメールでメンテナーアカウントを奪取
! 【JavaScript開発者へのフィッシングメール】(https://img-cdn.gateio.im/webp-social/moments-87a9b3933a-af8b83d1be-153d09-6d2ef1.webp)
(出典:Github)
攻撃者は公式NPMがサポートするフィッシングメールに偽装し、メンテナーを偽のウェブサイトで二段階認証を更新させることで、ログイン認証情報を盗みました。
アカウントの制御権を取得した場合、ハッカーはダウンロード数が数十億回に達するパッケージに悪意のある更新をプッシュすることができます。
合気道セキュリティの研究者チャーリー・エリクソンは、今回の攻撃の危険な点は「ウェブサイトの表示内容、API コール、そしてユーザーアプリケーションが署名していると思っている取引データを同時に改ざんできる」ということだと述べています。
なぜこれが「史上最大のサプライチェーン攻撃」なのか?
影響範囲が広い:数百万のアプリケーションやウェブサイトに影響を及ぼす
浸透深度が高い:コアライブラリは依存チェーンの底層に位置しており、直接インストールされていなくても影響を受ける可能性があります。
ターゲットが明確:暗号取引とウォレット資金を専門にロックする
これは、フロントエンド開発者から最終ユーザーまで、全体のチェーンが攻撃の対象となる可能性があることを意味します。
结语
このNPMサプライチェーン攻撃は、オープンソースエコシステムの脆弱性と暗号市場の高リスク性を再び浮き彫りにしました。開発者にとっては、すぐに安全なバージョンにチェックし、ロールバックする必要があります。暗号ユーザーにとっては、短期間は安全性が不確かなウェブサイトでの取引を避け、できるだけハードウェアウォレットを使用して資産管理を行うべきです。