ハッカーは偽のウェブサイトを使用して信頼された npm アカウントを盗み、有名なパッケージに有害なコードを広めました。
MetaMaskやTrust Walletのような暗号ウォレットは、感染したJavaScriptライブラリを使用している場合、リスクにさらされる可能性があります。
ユーザーは、最近npmを通じてアプリが更新された場合、トランザクションの署名を停止し、すべてのパッケージを確認するべきです。
大規模なサプライチェーン攻撃によって、広く信頼されているnpm JavaScriptアカウントが侵害されました。研究者たちは、悪意のあるコードがすでに18の人気パッケージに感染していることを確認しました。これらのパッケージは、過去1週間だけで20億回以上ダウンロードされています。影響を受けたパッケージには、暗号ウォレットアドレスを静かに入れ替えることができるコードが含まれています。
この攻撃は、ユーザーの知らないうちにトランザクションを逸らすように設計されています。ユーザーが正しい外観のトランザクションに署名しても、資金が攻撃者のもとに行く可能性があります。JavaScriptエコシステムは、これらのパッケージがどれほど深く統合されているかによって危険にさらされています。開発者は、影響を受けた依存関係を直ちに監査し、削除するように強く求められています。
暗号ウォレットとエコシステムが危険にさらされています
この攻撃は、多くの有名なブラウザベースおよびデスクトップウォレットに影響を及ぼします。例えば:MetaMask、Trust Wallet、Exodusです。ハードウェアウォレットはより安全ですが、ユーザーは依然として取引の詳細を注意深く確認する必要があります。攻撃者は、署名プロセス中にユーザーを騙すために、類似のウォレットアドレスを使用します。
詳細な文字ごとのチェックだけが違いを見つけることができます。ほとんどのユーザーはウォレットアドレスの最初と最後の数文字だけを確認します。それは彼らをアドレススワッピング戦術に対して脆弱にします。自動化されたスクリプトやスマートコントラクトも、侵害されたライブラリに依存している場合はリスクがあります。
エントリーポイントは侵害されたアカウントでした
侵害は、攻撃者が信頼されたnpmメンテナーのアカウントを制御することから始まりました。研究者たちは、これがフィッシングと偽の二要素認証プロンプトを使用して行われたと考えています。
最近、サイバーセキュリティ研究者は、ハッカーがNPMパッケージを介してEthereumスマートコントラクトにマルウェアを隠していることに気づきました。ブロックチェーンのURLを使用してスキャンを回避し、第二段階のペイロードを配信しています。攻撃者は、信頼性を高めるために捏造されたコミットと複数のアカウントを持つ偽のGitHubリポジトリを構築しました。GitHubユーザーは、npmサポートからのふりをした疑わしいメールを報告しました。
攻撃者は、本物の npm ウェブサイトを模倣したドメインを使用しました。これらのメールは、開発者がフィッシングリンクをクリックするように強制するためにアカウントをロックすると脅迫しました。侵害されると、アカウントは複数のパッケージを悪意のあるペイロードで更新するために使用されました。いくつかのパッケージは後でパッチが当てられましたが、他のものは安全ではありません。
セキュリティ警告と開発者の対応
セキュリティチームと研究者たちは、ユーザーに対して今のところオンチェーン活動を避けるよう警告しています。暗号ユーザーはブラウザウォレットを無効にし、一時的に取引の署名を停止するべきです。重大な損失はまだ報告されていませんが、リスクは依然として高いままです。
一部のDeFiプラットフォーム、AxiomやKaminoを含むは、感染したパッケージを使用していないことを確認しました。それでも、開発者はすべての依存関係を確認する必要があります。特にChalkのような人気のあるライブラリに関連するものです。この種の脆弱性は、2024年にも確認され、ハッカーがLottie Player Java Scriptを悪用し、1inchのような信頼できるDeFiサイトのウォレットを危険にさらしました。
npmチームは知られている侵害されたバージョンを無効にしましたが、最近のアップデートは依然としてリスクを伴う可能性があります。攻撃の全体的な規模は不明のままです。より多くの開発者アカウントが同様のフィッシング手法を使用して標的にされる場合、脅威は拡大する可能性があります。
5k 人気度
9k 人気度
25k 人気度
35k 人気度
信頼されたNPMアカウントがハイジャックされ、暗号資産の取引とウォレットに影響を与える悪意のあるコードが拡散される...
ハッカーは偽のウェブサイトを使用して信頼された npm アカウントを盗み、有名なパッケージに有害なコードを広めました。
MetaMaskやTrust Walletのような暗号ウォレットは、感染したJavaScriptライブラリを使用している場合、リスクにさらされる可能性があります。
ユーザーは、最近npmを通じてアプリが更新された場合、トランザクションの署名を停止し、すべてのパッケージを確認するべきです。
大規模なサプライチェーン攻撃によって、広く信頼されているnpm JavaScriptアカウントが侵害されました。研究者たちは、悪意のあるコードがすでに18の人気パッケージに感染していることを確認しました。これらのパッケージは、過去1週間だけで20億回以上ダウンロードされています。影響を受けたパッケージには、暗号ウォレットアドレスを静かに入れ替えることができるコードが含まれています。
この攻撃は、ユーザーの知らないうちにトランザクションを逸らすように設計されています。ユーザーが正しい外観のトランザクションに署名しても、資金が攻撃者のもとに行く可能性があります。JavaScriptエコシステムは、これらのパッケージがどれほど深く統合されているかによって危険にさらされています。開発者は、影響を受けた依存関係を直ちに監査し、削除するように強く求められています。
暗号ウォレットとエコシステムが危険にさらされています
この攻撃は、多くの有名なブラウザベースおよびデスクトップウォレットに影響を及ぼします。例えば:MetaMask、Trust Wallet、Exodusです。ハードウェアウォレットはより安全ですが、ユーザーは依然として取引の詳細を注意深く確認する必要があります。攻撃者は、署名プロセス中にユーザーを騙すために、類似のウォレットアドレスを使用します。
詳細な文字ごとのチェックだけが違いを見つけることができます。ほとんどのユーザーはウォレットアドレスの最初と最後の数文字だけを確認します。それは彼らをアドレススワッピング戦術に対して脆弱にします。自動化されたスクリプトやスマートコントラクトも、侵害されたライブラリに依存している場合はリスクがあります。
エントリーポイントは侵害されたアカウントでした
侵害は、攻撃者が信頼されたnpmメンテナーのアカウントを制御することから始まりました。研究者たちは、これがフィッシングと偽の二要素認証プロンプトを使用して行われたと考えています。
最近、サイバーセキュリティ研究者は、ハッカーがNPMパッケージを介してEthereumスマートコントラクトにマルウェアを隠していることに気づきました。ブロックチェーンのURLを使用してスキャンを回避し、第二段階のペイロードを配信しています。攻撃者は、信頼性を高めるために捏造されたコミットと複数のアカウントを持つ偽のGitHubリポジトリを構築しました。GitHubユーザーは、npmサポートからのふりをした疑わしいメールを報告しました。
攻撃者は、本物の npm ウェブサイトを模倣したドメインを使用しました。これらのメールは、開発者がフィッシングリンクをクリックするように強制するためにアカウントをロックすると脅迫しました。侵害されると、アカウントは複数のパッケージを悪意のあるペイロードで更新するために使用されました。いくつかのパッケージは後でパッチが当てられましたが、他のものは安全ではありません。
セキュリティ警告と開発者の対応
セキュリティチームと研究者たちは、ユーザーに対して今のところオンチェーン活動を避けるよう警告しています。暗号ユーザーはブラウザウォレットを無効にし、一時的に取引の署名を停止するべきです。重大な損失はまだ報告されていませんが、リスクは依然として高いままです。
一部のDeFiプラットフォーム、AxiomやKaminoを含むは、感染したパッケージを使用していないことを確認しました。それでも、開発者はすべての依存関係を確認する必要があります。特にChalkのような人気のあるライブラリに関連するものです。この種の脆弱性は、2024年にも確認され、ハッカーがLottie Player Java Scriptを悪用し、1inchのような信頼できるDeFiサイトのウォレットを危険にさらしました。
npmチームは知られている侵害されたバージョンを無効にしましたが、最近のアップデートは依然としてリスクを伴う可能性があります。攻撃の全体的な規模は不明のままです。より多くの開発者アカウントが同様のフィッシング手法を使用して標的にされる場合、脅威は拡大する可能性があります。