セキュリティ研究者によると、JavaScriptのソフトウェアライブラリを狙った大規模なサプライチェーン攻撃で、ハッカーが奪った仮想通貨はわずか50ドル相当だったという。
セキュリティ調査機関セキュリティ・アライアンスは9月8日、この攻撃の詳細を公表した。攻撃者は有名なソフトウェア開発者のNPM(ノードパッケージマネージャー)アカウントを侵害し、人気のJavaScriptライブラリにマルウェアを仕込んだ。これらは既に10億回以上ダウンロードされており、無数の仮想通貨プロジェクトが潜在的なリスクにさらされた。
標的となったのは特にイーサリアムとソラナのウォレットだったという。
セキュリティ・アライアンスによると、現時点で仮想通貨業界全体で失われた資産は50ドル未満にとどまっている。同社は、イーサリアムのウォレットアドレス「0xFc4a48」を唯一の悪意あるアドレスとして特定した。
同社はXで次のように説明した。
「想像してみてほしい。週に20億回以上ダウンロードされるNPM開発者のアカウントを乗っ取ったら、数百万の開発環境に自由にアクセスできる。莫大な利益が待っているはずだ。だが実際の利益は50ドル未満にすぎなかった」
ただ、この被害額は数時間前までは5セントと報告されており、今後の影響がさらに表面化する可能性も残されている。
奪われたのはイーサリアムとミームコイン
最初に奪われた5セント相当はイーサリアム(ETH)だった。その後、約20ドル分のミームコインも被害を受けたという。
Etherscanのデータによると、問題のアドレスにはブレット(BRETT)、アンディ(ANDY)、ドークロード(DORK)、イーサビスタ(VISTA)、ゴンドラ(GONDOLA)といったミームコインが送られている。
直接NPMを導入していなくても危険
今回の侵害で改ざんされたのは、chalk、strip-ansi、color-convertといった小規模ユーティリティパッケージである。これらは多くのプロジェクトの依存関係の奥深くに組み込まれているため、開発者が直接インストールしていなくてもリスクにさらされる可能性がある。
NPMは開発者向けの「アプリストア」のような存在で、JavaScript開発のために小さなコードを共有・取得する中央ライブラリとして利用されている。
攻撃者は「クリプトクリッパー」と呼ばれるマルウェアを仕込んでおり、トランザクション中にウォレットアドレスを密かに差し替えて資金を奪う手口が使われたとみられる。
業界関係者が警鐘 「取引確認は慎重に」
レジャーの最高技術責任者シャルル・ギルメ氏は、オンチェーントランザクションを承認する際に注意するようユーザーに呼びかけた。なお、同社のデバイス自体は今回の攻撃による影響を受けていないと説明している。
一方、DeFiLlamaの創設者である0xngmi氏は、マルウェアに感染したNPMパッケージが公開された後にアップデートを行ったプロジェクトのみがリスクにさらされる可能性があると指摘した。さらに、ユーザーが悪意のあるトランザクションを承認しない限り被害は発生しないとも述べた。
ただし、ギルメ氏と同様に、該当パッケージを利用している開発者が修正を完了するまでは仮想通貨関連サイトの利用を控える方が安全だと警告している。
bitbankで新規口座開設後、1万円の入金でもれなく現金1,000円プレゼント!【PR】
