Ledger、NPMへの大規模攻撃を警告｜仮想通貨管理にリスク

Ledger CTOが大規模NPMサプライチェーン攻撃を警告。不正コードが仮想通貨アドレスを置換し資金を窃取。ハードウェアウォレットでの確認が重要。

ハードウェアウォレットメーカーLedgerのチャールズ・ギユメ最高技術責任者（CTO）は8日、大規模なソフトウェアサプライチェーン攻撃が進行中であると警告した。

この攻撃は、Node Package Manager（NPM）のエコシステムを標的としており、暗号資産（仮想通貨）利用者の資金に深刻なリスクをもたらす可能性がある。

10億回超ダウンロードのパッケージに不正コード

ギユメ氏は自身のX公式アカウントで、「大規模なサプライチェーン攻撃が進行中だ。信頼できる開発者のNPMアカウントが侵害された」と投稿した。

影響を受けるパッケージはすでに10億回以上ダウンロードされており、JavaScriptエコシステム全体が危険にさらされている可能性があるという。

侵害されたパッケージには、取引時に仮想通貨ウォレットのアドレスを密かに攻撃者のものに置き換える悪意のあるコードが含まれている。

これにより、利用者は気づかないうちに資金を攻撃者が管理するウォレットに送金してしまう。
Ledgerによると、この攻撃はイーサリアム（ETH）やビットコイン（BTC）、ソラナ（SOL）、トロン（TRX）など、複数のブロックチェーンネットワーク上の取引を標的にしている。

フィッシングメールから始まった巧妙な手口

攻撃の発端は、NPMサポートを装ったフィッシングメールであった。

「[email protected]」という偽のドメインから送信されたメールは、開発者に対し、2段階認証情報を更新しないとアカウントがロックされると警告し、悪意のあるリンクへ誘導した。

この手口により、週に合計26億回以上ダウンロードされる18の広く利用されているJavaScriptパッケージが侵害された。

影響を受けたパッケージには、「chalk」（週3億回ダウンロード）や「debug」（週3億5800万回）などの重要な開発ツールも含まれる。

悪意のあるコードは、ブラウザ上で仮想通貨取引を監視し、トランザクション署名が行われる直前に宛先アドレスを差し替える仕組みだ。

この事件は、基盤となるオープンソースツールの脆弱性が、いかに迅速にソフトウェアエコシステム全体へ広がるかを示している。

専門家が警鐘、ハードウェアウォレットでの自衛を

アカウントを侵害されたNPMメンテナーは、コミュニティに対し、影響を受けたパッケージの多くが依然として危険な状態にあると警告した。

ギユメ氏は具体的な対策として、「ハードウェアウォレットを使用しているなら、署名前にすべての取引に注意を払えば安全だ。そうでなければ、当面はオンチェーン取引を控えるべきだ」と助言している。

NPMはすでに侵害されたパッケージのバージョンを無効化しているが、一部のアプリケーションでは脆弱なコードが実行され続けている可能性があり、フロントエンドのリスクは依然として残る。

Coinbaseのセキュリティ責任者やGCRの専門家は、これを「史上最大のNPMサプライチェーン攻撃」の可能性があると指摘している。

セキュリティ研究者も、この攻撃の巧妙さを認め、利用者を保護するためにはハードウェアウォレットによる明確な署名検証が不可欠であると強調した。