ごく普通の暗号資産ウォレットライブラリのアップデートが、あっという間に恐ろしい罠へと姿を変えました。攻撃者はこの罠を仕掛けることで、わずか49分の間にユーザー資金の完全な支配権を奪える状態を作り出していました。具体的には、悪意ある攻撃者がInjectiveプラットフォーム向けの@injectivelabs/sdk-tsパッケージに不正なコードペイロードを埋め込みました。この危険なコードは、ユーザーが暗号資産ウォレットを作成またはロードするたびに、リカバリーフレーズと秘密鍵を積極的に窃取していました。
この有害なコードは2026年7月8日、npmレジストリ上のバージョン1.20.21に初めて出現しました。侵害を受けたパッケージは、公式のInjective Labsソフトウェア開発キットの一部です。アプリケーションがウォレットを作成し、トランザクションに署名し、Injectiveブロックチェーンとシームレスにやり取りできるようにする役割を担っています。Datadog Security LabsによるInjective Labs SDKバックドアの詳細分析によると、このライブラリは毎月およそ175,000回ダウンロードされているとのことです。
テレメトリデータ収集を装ったデータ窃取
攻撃者は、このデータ窃取を巧妙に匿名テレメトリ収集に見せかけていました。注入されたモジュールは、表向きは鍵生成の速度や取得方法を計測しているように見せていました。しかし実際には、特定の秘密鍵関数の呼び出し時にリカバリーフレーズや秘密鍵を傍受していたのです。その後、システムは窃取したデータをエンコードし、標準的なWebヘッダー経由で送信していました。送信先のサーバーは、通常のInjectiveインフラのノードに酷似したものでした。
さらに、このマルウェアはインストール直後には実行されませんでした。悪意あるコードは、アプリケーションがウォレットを実際に作成または開いた際にのみ発動する仕組みになっていました。この遅延実行という手法により、迅速な検知を免れる可能性が大幅に高まっていました。同時に、傍受したデータが確実に鍵の復元と暗号資産へのアクセスに使えるようにもなっていました。
侵害されたメンテナーアカウント
攻撃者は、公式リポジトリのmainブランチに直接不正な変更を加えていました。その際、長年プロジェクトに携わってきた開発者になりすましていました。その後、標準の自動ビルドシステムが気づかないまま感染バージョンをコンパイルし、npmに公開してしまいました。セキュリティ専門家は、攻撃者が信頼されたプロジェクトメンテナーのアカウントを侵害することに成功したとみています。そのため、別途パッケージ公開キーを入手する必要すらなかったのです。
この攻撃の影響は、主要な開発キットだけにとどまりませんでした。同時に、他の17個のInjective Labsパッケージもバージョン1.20.21をリリースしていました。これらのパッケージは、感染したライブラリを直接参照していました。それ自体に悪意あるコードは含まれていなかったものの、インストール時に危険な依存関係を自動的にダウンロードしてしまう状態でした。アナリストは、これらの侵害されたコンポーネントに依存するサードパーティ製パッケージを多数確認しています。
対応策と今後の対策
幸いにも、開発者はおよそ49分後に変更を差し戻し、クリーンなバージョンをリリースしました。とはいえ、この短い露出時間があったからといって被害がゼロだったとは限りません。追跡調査により、悪意あるバージョンが数百回ダウンロードされていたことが記録されています。さらに、キャッシュプロキシや自動ビルド環境には、保存されたコピーが依然として残っている可能性があります。
専門家は、侵害された@injectivelabsのバージョンをインストールした人に対し、直ちにシステムをアップグレードするよう呼びかけています。直接的な依存関係と入れ子になった依存関係の両方を、徹底的に確認する必要があります。感染したコードによって処理されたリカバリーフレーズと秘密鍵は、すべて漏洩済みとみなすべきです。最後に、ウォレット所有者は新しい鍵を生成し、直ちに安全なアドレスへ資金を移す必要があります。
翻訳元: https://meterpreter.org/injective-labs-sdk-backdoor/