史上最大のサプライチェーン攻撃、改ざんされたJavaScriptパッケージを通じて暗号資産ユーザーを標的に

新たなサイバー攻撃が、史上最大規模のサプライチェーン攻撃とセキュリティ研究者が評する事件の中で、取引中のユーザーから暗号資産を密かに狙っています。

BleepingComputerによると、ハッカーはNPMパッケージのメンテナーアカウントをフィッシングメールで侵害し、暗号資産を盗むマルウェアを注入しました。

この攻撃は、「support@npmjs.help」から送信されたように見せかけた偽のメールでJavaScript開発者を標的とし、正規のNPMレジストリを模倣したドメインが使われました。

フィッシングメッセージは、メンテナーに対し、悪意のあるリンクを通じて二要素認証情報を更新しなければ、9月10日にアカウントがロックされると警告していました。

攻撃者は、合計で週2.6 billions回以上ダウンロードされている18の広く利用されているJavaScriptパッケージの侵害に成功しました。

侵害されたライブラリには、「chalk」（週3億回ダウンロード）、「debug」（週3.58億回）、「ansi-styles」（週3.71億回）など、基本的な開発ツールが含まれており、事実上JavaScriptエコシステム全体に影響を及ぼしています。

暗号資産を標的に

悪意のあるコードはブラウザベースのインターセプターとして機能し、Ethereum、Bitcoin、Solana、Tron、Litecoin、Bitcoin Cashネットワーク全体での暗号資産取引のネットワークトラフィックを監視します。

ユーザーが暗号資産の送金を開始すると、マルウェアは取引署名前に送金先ウォレットアドレスを攻撃者が管理するアカウントに密かに置き換えます。

Aikido Securityの研究者Charlie Eriksenは次のように説明しています：

「この攻撃が危険なのは、複数のレイヤーで動作する点です。ウェブサイト上に表示される内容の改ざん、APIコールの改ざん、そしてユーザーのアプリが署名しようとしている内容の操作が行われます。」

LedgerのCTOであるCharles Guillemetは、JavaScriptエコシステムが膨大なダウンロード数を持つことから、暗号資産ユーザーに継続的な脅威について警告しました。

ハードウェアウォレットのユーザーは、署名前に取引内容を確認すれば保護されますが、ソフトウェアウォレットのユーザーはより高いリスクに直面します。Guillemetは次のように助言しています：

「ハードウェアウォレットを使っていない場合は、今はオンチェーン取引を控えてください。」

また、攻撃者がソフトウェアウォレットからシードフレーズを直接抽出できるかどうかは不明であるとも指摘しました。

高度な標的型攻撃

この攻撃は、犯罪者が信頼された開発インフラを侵害し、エンドユーザーに到達する高度なサプライチェーン標的型攻撃を示しています。

週に数十億回ダウンロードされるパッケージに侵入することで、攻撃者は暗号資産アプリケーションやウォレットインターフェースへの前例のないアクセスを獲得しました。

BleepingComputerは、認証情報を「websocket-api2.publicvm.com」へ流出させるフィッシングインフラを特定し、この作戦の組織的な性質を示しました。

この事件は、2025年を通じて発生した同様のJavaScriptライブラリ侵害に続くものであり、7月には「eslint-config-prettier」（週3,000万回ダウンロード）が攻撃され、3月には10の人気NPMライブラリが侵害されました。

史上最大のサプライチェーン攻撃が、侵害されたJavaScriptパッケージを通じて暗号資産ユーザーを標的にしたという記事はCryptoSlateに最初に掲載されました。