大規模なNPMサプライチェーン攻撃が発生
大手ハードウェアウォレット開発企業レジャー(Ledger)の最高技術責任者(CTO)であるシャルル・ギルメ(Charles Guillemet)氏が、Node Package Manager(NPM)エコシステムを狙った大規模なサプライチェーン攻撃について「幸運にもほぼ失敗に終わった」と9月9日に発表した。
NPMサプライチェーン攻撃とは、開発者が使用するJavaScriptパッケージ管理システムに悪意のあるコードを仕込み、そのパッケージを使用したアプリケーションを通じてアプリケーションユーザーを対象にした攻撃を実行する手法だ。
暗号資産情報プラットフォームの「アーカム(Arkham)」によると、今回の攻撃で盗まれた暗号資産の総額は約503ドル(約7万4,000円)に留まったという。攻撃者は偽装されたNPMサポートドメインからフィッシングメールを送信し、開発者の認証情報を取得して悪意のあるパッケージバージョンを公開した。
攻撃者は、悪意のあるコードを使用してイーサリアム(Ethereum)やソラナ(Solana)などのブロックチェーンネットワーク上でウォレットアドレスを入れ替える「クリッパー」マルウェアを仕込んだ。しかし、攻撃者の実装ミスによりCI/CDパイプラインがクラッシュしたことと、迅速な発見と対応がされたことにより、被害が限定的となったとのことだ。
セキュリティ専門組織SEALオーガニゼーション(SEAL Org)は、週に20億回以上ダウンロードされるパッケージへの不正アクセスが成功していれば、攻撃者は「計り知れない富」を得られた可能性があったと指摘し、今回の結果を「幸運」と評した。なお攻撃は、「チョーク(chalk)」、「ストリップ・アンシ(strip-ansi)」、「カラー・コンバート(color-convert)」といった多くのプロジェクトで依存関係として使用される小規模なユーティリティパッケージを標的としていた。
暗号資産ウォレット提供企業のレジャーやメタマスク(MetaMask)、ファントム(Phantom)をはじめ、分散型取引所(DEX)のユニスワップ(Uniswap)、DeFiプロトコルのアーベ(Aave)、モルフォ(Morpho)などの主要プロジェクトは影響を受けていないと発表している。
ギルメ氏は「差し迫った危険は去ったかもしれないが、脅威は残っている」として、ユーザーにハードウェアウォレットの使用とクリアサイニング(明確な署名)による保護を推奨した。また業界の専門家らは、ソフトウェアサプライチェーン攻撃が強力なマルウェア配信手段として使用される傾向が高まっていると警告している。
なお暗号資産分析プラットフォーム「デファイラマ(DefiLlama)」の匿名創設者0xngmi氏は、マルウェアが仕込まれたNPMパッケージが公開された後にアップデートを行った暗号資産プロジェクトのみがリスクにさらされる可能性があると説明した。その場合でも、ユーザーが悪意のあるトランザクションを承認しない限り被害は発生しないという。
Update on the NPM attack: The attack fortunately failed, with almost no victims.🔒
— Charles Guillemet (@P3b7_) September 9, 2025
It began with a phishing email from a fake npm support domain that stole credentials and gave attackers access to publish malicious package updates. The injected code targeted web crypto activity,… https://t.co/Ud1SBSJ52v pic.twitter.com/lOik6k7Dkp
画像:iStocks/PIXTA