- 10以上の有名なnpmパッケージが、フィッシングを利用したサプライチェーン攻撃で侵害された
- マルウェアは、取引中にウォレットアドレスを乗っ取ることで暗号通貨ユーザーを標的にした
- 一部では、週20億ダウンロードに影響した史上最大規模のnpm侵害と呼ばれている
週あたり20億回ダウンロードされている10以上のnpmパッケージが、暗号通貨ユーザーを標的としたサプライチェーン攻撃で侵害されました。
セキュリティ企業Aikido Securityの研究者は、メンテナーアカウントQix(本名Josh Junon)が悪意のあるアップデートを公開しているのを発見しました。1時間も経たないうちに複数のバージョンがアップロードされ、その後すぐにJunon本人が攻撃を認め、この混乱について謝罪しました。
「はい、やられました。2FAリセットのメールはとても本物らしく見えました」とJunonはBlueskyで書き、この侵害が巧妙なフィッシングメールから始まったことを認めました。
暗号通貨ユーザーを標的に
「影響を受けたのはNPMだけです。@npmjs.bsky.socialにメールを送り、再度アクセスできるか確認しています。皆さんごめんなさい、もっと注意すべきでした。普段の自分らしくありませんが、今週はストレスが多かったです。これをきれいにするために取り組みます」と彼は強調し、どんなに注意深い人でも警戒を緩めると被害に遭う可能性があることを示しました。
The Hacker Newsによると、侵害されたパッケージは以下の20個で、合計で週20億回ダウンロードされています:
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
同時に、CyberInsiderはこれを「npmエコシステム史上最も広範囲に及ぶサプライチェーン侵害」と表現しました。
これらのパッケージを通じて配布されたマルウェアは、暗号通貨ユーザーを標的にしていたとみられます。このマルウェアは、暗号通貨の取引時に送金先ウォレットアドレスを攻撃者が管理するアドレスにすり替えることで、取引を傍受するよう設計されています。イーサリアム、ソラナ、ビットコイン、トロン、ライトコイン、ビットコインキャッシュが今回のキャンペーンで標的となったチェーンのようです。
