LedgerのCTOは、仮想通貨ウォレットアドレスを狙ったNPMへの大規模サプライチェーン攻撃が、失敗に終わり被害は軽微だったと報告。
ハードウェアウォレットメーカーLedgerのチャールズ・ギユメ最高技術責任者(CTO)は9日、Node Package Manager(NPM)のサプライチェーンに対する大規模攻撃が「幸いにも失敗」し、「被害はほとんどなかった」と報告した。
Update on the NPM attack: The attack fortunately failed, with almost no victims.🔒
It began with a phishing email from a fake npm support domain that stole credentials and gave attackers access to publish malicious package updates. The injected code targeted web crypto activity,… https://t.co/Ud1SBSJ52v pic.twitter.com/lOik6k7Dkp
— Charles Guillemet (@P3b7_) September 9, 2025
10億回超ダウンロードのパッケージが標的に
ギユメ氏は8日、自身のX(旧ツイッター)アカウントで、NPMエコシステムを標的とした大規模なソフトウェアサプライチェーン攻撃について警告を発した。
同氏の当初の声明によると、「信頼できる開発者のNPMアカウントが侵害された」という。
影響を受けたパッケージは、すでに10億回以上ダウンロードされており、JavaScriptエコシステム全体が危険にさらされる可能性があった。
この攻撃で展開された悪意のあるコードは、取引における暗号資産(仮想通貨)のウォレットアドレスを密かに交換するように特別に設計されていた。
これにより、ユーザーは気づかないうちに、仮想通貨資金を攻撃者が管理するウォレットに直接送金してしまう恐れがあった。
この種の手口は、ユーザーが正規のソフトウェアパッケージに寄せる信頼を悪用するため、取引がリダイレクトされている兆候がなく、特に危険だ。
仮想通貨エコシステムへの警鐘
今回の攻撃の潜在的な影響は、NPMエコシステムの巨大な規模によって著しく増幅された。
この事件は、オープンソースソフトウェアがいかに深く相互接続されているか、そして開発者ツールのセキュリティ不備が、いかに瞬時に仮想通貨経済に波及しうるかを浮き彫りにした。
JavaScriptエコシステムが仮想通貨アプリケーション全体で広く採用されている状況が、単一の開発者アカウントの侵害で複数の仮想通貨プロジェクトが同時に脅かされるという事態を生み出した。
セキュリティ専門家は以前から、オープンソースソフトウェアにおけるサプライチェーンの脆弱性について警告してきた。
しかし、仮想通貨アプリケーションで扱われる金銭的価値の高さが、こうした攻撃を悪意のある攻撃者にとって特に魅力的なものにしている。
悪意のあるコードが、明らかな混乱を引き起こすのではなく、ウォレットアドレスを静かに変更するように設計されていたため、ユーザーには取引が正常に見え、検知がより困難になった。
迅速な対応が被害を最小化
ギユメ氏は、侵害されたNPMアカウントを持つ特定の開発者名を公表せず、個人を特定するよりもエコシステム全体のリスクに焦点を当てた。
当初の警告では進行中の脅威が述べられていたが、その後の分析で攻撃は「幸いにも失敗」し、甚大な影響の可能性にもかかわらず「被害者はごくわずか」であったことが示された。
この結果は、警告が仮想通貨のセキュリティ関連チャネルを通じて迅速に広まったことによるものと考えられる。
これにより、開発者らは重大な金銭的損失が発生する前に、悪意のあるパッケージを迅速に特定し、削除することができた。
この事件は、ソフトウェアサプライチェーンのセキュリティ慣行に関する議論を再燃させている。
業界の専門家は、パッケージ署名の利用増加、依存関係の検証プロセス、および重要なオープンソースパッケージを管理する開発者アカウントの多要素認証の強化を推奨している。
主要な仮想通貨プラットフォームは、この脅威シナリオに対応するため、ウォレットアドレスの整合性に関する追加の検証チェックを導入した。
next