Ledger CTOが暗号資産ユーザーを標的としたNPMサプライチェーン攻撃に警鐘

暗号資産エコシステムを揺るがす大規模なサプライチェーン攻撃が発生し、世界中のユーザーが脅威にさらされています。LedgerのCTOであるCharles Guillemetは警鐘を鳴らし、注意喚起とハードウェアウォレットの利用を強く推奨しています。

この攻撃は、Node Package Manager（NPM）アカウントのハッキングから始まり、すでに数十億回のダウンロードに影響を与え、数百万のdAppや暗号資産取引のセキュリティを危険にさらしています。

「信頼できる開発者のNPMアカウントが侵害されました。影響を受けたパッケージはすでに10億回以上ダウンロードされています」とGuillemetは警告しています。

彼はさらに、マルウェアがクリプトクリッパーとして機能し、取引中にウォレットアドレスを密かに乗っ取り、資金を攻撃者のウォレットにリダイレクトすると説明しました。Guillemetは、特にハードウェアウォレットを使用していないユーザーに対して、より一層の注意を呼びかけています。

「ハードウェアウォレットを使用している場合は、署名前にすべての取引内容を確認すれば安全です。そうでない場合は、当面オンチェーン取引を控えてください」と彼は助言しています。

NPMハック：侵害の経緯 

報告によると、18の人気NPMパッケージが侵害されており、「chalk」「debug」「strip-ansi」などの著名なパッケージも含まれています。この攻撃は9月8日に発生し、近年最大規模の一つであり、合計20億回以上の週次ダウンロードを持つライブラリに影響を与えました。

攻撃は、公式NPMサポートを装ったフィッシングメールから始まったとされています。ターゲットとなったのは、NPMアカウントを乗っ取られた著名な開発者Qix-であり、攻撃者は人気JavaScriptライブラリに悪意のあるアップデートを注入できるようになりました。

一度インストールされると、悪意のあるペイロードはコピーされた暗号資産アドレスを、攻撃者が管理するよく似たアドレスに密かに置き換えます。この手法はLevenshtein距離ロジックを利用しており、ユーザーを騙して誤ったアドレスに資金を送金させます。

研究者によって攻撃に関連する主要なウォレットアドレスが特定されましたが、他にも関連が疑われるウォレットがあると指摘されています。

Charlesは現時点で攻撃者がソフトウェアウォレットのシードも直接盗んでいるかは不明と述べていますが、最近の報告では被害の実態が明らかになっています。研究者Rani Haddadは、Arkham上で攻撃者のウォレットを「NPM attack」として分類しました。データによると、記事執筆時点で攻撃者は497.96ドルを盗むことに成功しています。

攻撃者のウォレット | 出典: Arkham

直接的な金銭的被害はそれほど大きくありませんが、影響を受けたパッケージの人気を考えると、潜在的な被害規模は非常に大きいと言えます。

コミュニティの対応と予防策 

Uniswap、SUI、Jupiterなどの複数のプロジェクトやプロトコルは、自身は影響を受けていないと表明しつつも、注意を呼びかけています。LedgerやMetaMaskなどの暗号資産ウォレットは、多層的なセキュリティ対策を講じていることをユーザーに保証しています。

一方、NPMサプライチェーンハックは9月8日に発生した唯一の大規模なセキュリティインシデントではありませんでした。スイスの暗号資産プラットフォームSwissBorgは、パートナーAPI経由で4,100万ドルの被害を報告し、1%のユーザーに影響が及びました。さらに、Ethereum L2プロジェクトKintoは、7月の攻撃で577ETHが流出し、資金調達ができなくなったため、サービス終了を発表しました。

この一連の攻撃は、暗号資産分野の脅威がますます複雑化していることを示しています。今後、ユーザー、開発者、プラットフォームは、より安全な運用と厳格なパッケージ監査を徹底する必要があります。