人気のある暗号通貨価格追跡サイトであるCoinMarketCapは、ウェブサイトのサプライチェーン攻撃を受け、サイト訪問者がウォレットドレイナーキャンペーンにさらされ、訪問者の暗号通貨が盗まれました。
1月20日金曜日の夜、CoinMarketCapの訪問者はWeb3ポップアップを見始めました。それは彼らにウォレットをサイトに接続するよう求めました。しかし、訪問者がウォレットを接続すると、悪意のあるスクリプトが暗号通貨を流出させました。
その後、同社はサイトのホームページの「落書き」画像の脆弱性を利用して、悪意のあるJavaScriptをサイトに注入したと確認しました。
“2025年6月20日、私たちのセキュリティチームは、ホームページに表示される落書き画像に関連する脆弱性を特定しました。この落書き画像には、API呼び出しを通じて悪意のあるコードをトリガーするリンクが含まれており、ホームページを訪れた一部のユーザーに予期しないポップアップが表示される結果となりました。”とXに投稿された声明に記されています。
“発見後、問題のあるコンテンツを直ちに削除し、根本原因を特定し、問題を隔離し軽減するための包括的な対策を実施しました。”
“すべてのシステムが完全に稼働しており、CoinMarketCapはすべてのユーザーにとって安全で安心です。”
サイバーセキュリティ企業c/sideは、攻撃がどのようにして脅威アクターによってサイトが使用するAPIを改ざんし、ホームページに表示される落書き画像を取得したかを説明しました。この改ざんされたJSONペイロードには、外部サイト「static.cdnkit[.]io」からCoinMarketCapにウォレットドレイナースクリプトを注入する悪意のあるスクリプトタグが含まれていました。
ページを訪れると、スクリプトが実行され、CoinMarketCapのブランディングを表示し、正当なWeb3トランザクションリクエストを模倣する偽のウォレット接続ポップアップが表示されました。しかし、このスクリプトは実際には接続されたウォレットの資産を盗むために設計されたウォレットドレイナーでした。
“これはサプライチェーン攻撃であり、侵害はCMC自身のサーバーをターゲットにしたのではなく、CMCが使用するサードパーティのツールやリソースをターゲットにしました。”とc/sideが説明しています。
“このような攻撃は、プラットフォームの信頼された要素を悪用するため、検出が難しいです。”
攻撃に関する詳細は、CoinMarketCapのサプライチェーン攻撃の背後にいる攻撃者がTelegramチャンネルでドレイナーパネルのスクリーンショットを共有したとReyとして知られる脅威アクターから後に明らかになりました。
このパネルは、このサプライチェーン攻撃の一環として110人の被害者から43,266ドルが盗まれたことを示しており、脅威アクターはTelegramチャンネルでフランス語を話していました。
出典: Rey
暗号通貨の人気が急増するにつれて、ウォレットドレイナーの脅威も増大しており、これらは攻撃で一般的に使用されています。
従来のフィッシングとは異なり、これらのタイプの攻撃は、ソーシャルメディアの投稿、広告、偽装サイト、悪意のあるブラウザ拡張機能を通じて、悪意のあるウォレットドレイナースクリプトを含むことが多いです。
報告によると、ウォレットドレイナーは2024年にほぼ5億ドルを盗み、30万以上のウォレットアドレスをターゲットにした攻撃を行いました。
問題は非常に広範囲に及んでいるため、Mozillaは最近、新しいシステムを導入し、Firefoxアドオンリポジトリにアップロードされたウォレットドレイナーを検出するようになりました。
なぜITチームは手動のパッチ管理をやめているのか
パッチ作業はかつて複雑なスクリプト、長時間の作業、終わりのない緊急対応を意味していました。もうそんなことはありません。
この新しいガイドでは、Tinesが現代のIT組織が自動化でどのようにレベルアップしているかを解説します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中しましょう — 複雑なスクリプトは不要です。