2025年9月6日Ravie Lakshmananソフトウェアセキュリティ / 暗号通貨
新たに4つの悪意のあるパッケージがnpmパッケージレジストリで発見され、Ethereum開発者から暗号通貨ウォレットの認証情報を盗む機能を持っています。
「これらのパッケージは正規の暗号化ユーティリティやFlashbots MEVインフラを装いながら、秘密鍵やニーモニックシードを脅威アクターが管理するTelegramボットへ密かに送信しています」とSocketの研究者Kush Pandyaが分析で述べています。
これらのパッケージは「flashbotts」というユーザーによってnpmにアップロードされており、最も早いもので2023年9月に公開されています。最新のアップロードは2025年8月19日に行われました。問題となっているパッケージは、執筆時点ですべてダウンロード可能で、以下の通りです。
- @flashbotts/ethers-provider-bundle(52ダウンロード)
- flashbot-sdk-eth(467ダウンロード)
- sdk-ethers(90ダウンロード)
- gram-utilz(83ダウンロード)
Flashbotsになりすましているのは偶然ではありません。Flashbotsは、Ethereumネットワーク上でのMaximal Extractable Value(MEV)の悪影響、例えばサンドイッチ攻撃、清算、バックランニング、フロントランニング、タイムバンディット攻撃などと戦う役割を担っているためです。
確認されたライブラリの中で最も危険なのは「@flashbotts/ethers-provider-bundle」であり、機能的なカバーの下に悪意のある動作を隠しています。Flashbots APIとの完全な互換性を提供するふりをしつつ、このパッケージはMailtrapを利用してSMTP経由で環境変数を密かに外部送信する機能を組み込んでいます。
さらに、このnpmパッケージは、すべての未署名トランザクションを攻撃者が管理するウォレットアドレスにリダイレクトし、事前署名済みトランザクションのメタデータを記録するトランザクション操作機能も実装しています。
Socketによれば、sdk-ethersはほとんど無害ですが、ニーモニックシードフレーズをTelegramボットに送信する2つの関数が含まれており、これは開発者が自身のプロジェクトで呼び出した場合のみ有効化されます。
Flashbotsになりすました2つ目のパッケージであるflashbot-sdk-ethも、秘密鍵の窃取を引き起こすよう設計されており、gram-utilzは脅威アクターのTelegramチャットに任意のデータを外部送信するためのモジュール式メカニズムを提供します。
ニーモニックシードフレーズは暗号通貨ウォレットへのアクセスを回復する「マスターキー」として機能するため、これらの単語列が盗まれると、脅威アクターは被害者のウォレットに侵入し、完全なコントロールを得ることができます。
ソースコード内にベトナム語のコメントが存在することから、金銭目的の脅威アクターがベトナム語話者である可能性が示唆されています。
これらの発見は、攻撃者がプラットフォームに対する信頼を悪用してソフトウェアサプライチェーン攻撃を行い、主に無害なコードに悪意のある機能を紛れ込ませて監査を回避しようとする意図的な努力を示しています。
「Flashbotsはバリデータ、サーチャー、DeFi開発者から広く信頼されているため、公式SDKと見なされるパッケージは、トレーディングボットを運用したりホットウォレットを管理するオペレーターに採用される可能性が高いです」とPandya氏は指摘します。「この環境で秘密鍵が漏洩すると、即座にかつ不可逆的な資金の窃取につながります。」
「開発者が馴染みのあるパッケージ名を信頼することや、正規のユーティリティで悪意のあるコードを覆い隠すことを悪用し、これらのパッケージは日常的なWeb3開発を脅威アクター管理のTelegramボットへの直接的なパイプラインに変えてしまいます。」
翻訳元: https://thehackernews.com/2025/09/malicious-npm-packages-impersonate.html