Ledgerの最高技術責任者チャールズ・ギルメットは、JavaScriptエコシステムにおいて発生した最も深刻なサプライチェーン攻撃の一つとして説明したことについて警鐘を鳴らしました。レジャーが緊急警告を発表月曜日、LedgerのCTOであるギルメットはXに、信頼できるオープンソースのメンテイナーのnpmアカウントが侵害され、広く使われているソフトウェアライブラリに悪意のあるアップデートが行われたと投稿しました。彼は書いた、「大規模なサプライチェーン攻撃が進行中です… JavaScriptエコシステム全体が危険にさらされている可能性があります。」彼は、ハードウェアウォレットのユーザーはすべての取引を確認すれば安全であると強調しましたが、他のすべての人には一時的にブロックチェーン取引を行うのを停止するように勧めました。広く使用されているパッケージへの悪意のある更新侵害は9月8日に発生し、ハッカーは「Qix」として知られるJosh Goldbergのnpmアカウントにアクセスしました。攻撃者は、chalk、debug、strip-ansi、color-convertを含む18のパッケージの破損したバージョンを公開しました。これらは合計で毎週26億以上のダウンロードを占めており、BabelやESLintなどのコア開発ツールに組み込まれています。研究者は、注入されたコードがブラウザ機能を傍受するために設計された「クリプトクリッパー」マルウェアを含んでいることを発見しました。このペイロードは、正当なウォレットアドレスを攻撃者が制御するアドレスと交換し、一部のケースではウォレット通信をハイジャックして、署名が適用される前にトランザクションを変更します。このマルウェアは、ビルドエラーが隠された難読化コードを明らかにした後、最初に検出されました。高度な攻撃戦略分析によると、マルウェアは二重の戦術で設計されており、似たようなウォレットアドレスに受動的に置き換えながら、MetaMaskなどのブラウザベースのウォレットでの取引を積極的に傍受および変更していました。この層状のアプローチにより、攻撃者はユーザーが気づかないうちに資金をシームレスにリダイレクトすることができました。調査によると、侵害はnpmのメンテナーに対するフィッシング攻撃から始まったとされています。公式のnpmセキュリティ通知を装った不正なメールが、受取人に対して二要素認証を更新するよう指示し、さもなければアカウントが一時停止されるリスクがあると警告していました。リンクに従った被害者は偽のログインページに誘導され、攻撃者は認証情報を奪い、ゴールドバーグのアカウントに侵入することができました。内部に入ると、攻撃者はコアパッケージの悪意のあるバージョンを配布し、数百万の人々が依存しているソフトウェアツールを効果的に武器化しました。セキュリティ会社Aikidoは、コードがブラウザインターセプターとして機能し、支払い先を改ざんしたり、API呼び出しを変更したり、ウェブサイトのコンテンツを改変したりすることができると指摘しました。進行中の放射性降下物と業界の懸念npmは多くの侵害されたバージョンを削除しましたが、セキュリティ専門家は隠れた間接依存関係が攻撃を完全に抑え込むことを困難にしていると警告しています。開発者はプロジェクトを監査し、既知の安全なパッケージバージョンを固定し、ロックファイルを直ちに再構築するように促されています。この事件は、メンテナーと開発者間の信頼に大きく依存しているオープンソースエコシステムの脆弱性を浮き彫りにしています。盗まれた資金に関連するウォレットアドレスがすでにオンチェーンで表面化している中、研究者たちはこの攻撃をJavaScriptエコシステムの歴史の中で最も深刻なものの一つだと呼んでいます。免責事項:この記事は情報提供のみを目的としています。法的、税務、投資、財務、またはその他のアドバイスとして提供されるものではありません。
グローバル暗号資産警告: レジャーが重大なJavaScriptサプライチェーン侵害をフラグしました
Ledgerの最高技術責任者チャールズ・ギルメットは、JavaScriptエコシステムにおいて発生した最も深刻なサプライチェーン攻撃の一つとして説明したことについて警鐘を鳴らしました。
レジャーが緊急警告を発表
月曜日、LedgerのCTOであるギルメットはXに、信頼できるオープンソースのメンテイナーのnpmアカウントが侵害され、広く使われているソフトウェアライブラリに悪意のあるアップデートが行われたと投稿しました。
彼は書いた、
「大規模なサプライチェーン攻撃が進行中です… JavaScriptエコシステム全体が危険にさらされている可能性があります。」
彼は、ハードウェアウォレットのユーザーはすべての取引を確認すれば安全であると強調しましたが、他のすべての人には一時的にブロックチェーン取引を行うのを停止するように勧めました。
広く使用されているパッケージへの悪意のある更新
侵害は9月8日に発生し、ハッカーは「Qix」として知られるJosh Goldbergのnpmアカウントにアクセスしました。攻撃者は、chalk、debug、strip-ansi、color-convertを含む18のパッケージの破損したバージョンを公開しました。これらは合計で毎週26億以上のダウンロードを占めており、BabelやESLintなどのコア開発ツールに組み込まれています。
研究者は、注入されたコードがブラウザ機能を傍受するために設計された「クリプトクリッパー」マルウェアを含んでいることを発見しました。このペイロードは、正当なウォレットアドレスを攻撃者が制御するアドレスと交換し、一部のケースではウォレット通信をハイジャックして、署名が適用される前にトランザクションを変更します。このマルウェアは、ビルドエラーが隠された難読化コードを明らかにした後、最初に検出されました。
高度な攻撃戦略
分析によると、マルウェアは二重の戦術で設計されており、似たようなウォレットアドレスに受動的に置き換えながら、MetaMaskなどのブラウザベースのウォレットでの取引を積極的に傍受および変更していました。この層状のアプローチにより、攻撃者はユーザーが気づかないうちに資金をシームレスにリダイレクトすることができました。
調査によると、侵害はnpmのメンテナーに対するフィッシング攻撃から始まったとされています。公式のnpmセキュリティ通知を装った不正なメールが、受取人に対して二要素認証を更新するよう指示し、さもなければアカウントが一時停止されるリスクがあると警告していました。リンクに従った被害者は偽のログインページに誘導され、攻撃者は認証情報を奪い、ゴールドバーグのアカウントに侵入することができました。
内部に入ると、攻撃者はコアパッケージの悪意のあるバージョンを配布し、数百万の人々が依存しているソフトウェアツールを効果的に武器化しました。セキュリティ会社Aikidoは、コードがブラウザインターセプターとして機能し、支払い先を改ざんしたり、API呼び出しを変更したり、ウェブサイトのコンテンツを改変したりすることができると指摘しました。
進行中の放射性降下物と業界の懸念
npmは多くの侵害されたバージョンを削除しましたが、セキュリティ専門家は隠れた間接依存関係が攻撃を完全に抑え込むことを困難にしていると警告しています。開発者はプロジェクトを監査し、既知の安全なパッケージバージョンを固定し、ロックファイルを直ちに再構築するように促されています。
この事件は、メンテナーと開発者間の信頼に大きく依存しているオープンソースエコシステムの脆弱性を浮き彫りにしています。盗まれた資金に関連するウォレットアドレスがすでにオンチェーンで表面化している中、研究者たちはこの攻撃をJavaScriptエコシステムの歴史の中で最も深刻なものの一つだと呼んでいます。
免責事項:この記事は情報提供のみを目的としています。法的、税務、投資、財務、またはその他のアドバイスとして提供されるものではありません。