9月8日、Ledger社の最高技術責任者(CTO)であるCharles Guillemet氏は、JavaScriptのエコシステム全体に影響を及ぼす可能性のあるアクティブなサプライチェーン攻撃について警告した。同氏はXへの投稿で、信頼できる開発者のNode Package Manager(NPM)アカウントが侵害されたことを明らかにした。攻撃者は10億ダウンロードを超えるパッケージに悪意のあるコードをプッシュし、暗号コミュニティ全体に警戒を呼びかけた。
注入されたコードは、トランザクション中に暗号ウォレットのアドレスを静かに交換するように設計されていた。実際には、これは疑うことを知らないユーザーが、それに気づかずに攻撃者のアドレスに直接資金を送ることができることを意味した。
Guillemet氏は、ユーザーが署名前にすべての取引を検証すれば、ハードウェア・ウォレットは安全であると強調した。ギルメット氏は、状況が明らかになるまで、他のすべてのユーザーにオンチェーン活動を一時停止するよう助言した。
エコシステム全体における初期の懸念
このニュースは、多くの分散型アプリケーションがオープンソースのJavaScriptパッケージに依存している暗号セクターにおいて、直ちに懸念を引き起こした。危殆化した依存関係は、イーサリアム、ソラナ、その他のチェーン上のユーザーを暴露する可能性がある。
Marinade、Solflare、Step Finance、Jupiter、Drift、Phantomを含むいくつかのプロジェクトは、システムが影響を受けていないことを確認する声明をすぐに発表した。
こうした安心感にもかかわらず、潜在的な被害の規模は大きかった。NPMパッケージは、広く使用されている多くのアプリケーションを支えており、このような性質の侵害は、ソフトウェア開発におけるサプライチェーンセキュリティの脆弱性を浮き彫りにした。
攻撃のメカニズムと意図
9月9日のフォローアップ投稿で、ギルメットはさらに詳細を説明した。攻撃者は、NPMのサポートになりすましたフィッシングメールキャンペーンを通じてアクセスした。偽のドメインを使って開発者の認証情報を盗み、広く使われているパッケージの悪意のあるアップデートを公開した。注入されたコードは、ウェブベースの暗号アクティビティを傍受し、ネットワーク・レスポンスにフックしてウォレット・アドレスを置き換えることを試みた。
しかし、実装上のミスが攻撃の有効性を損なった。悪意のあるコードは、継続的インテグレーションとデプロイメントのパイプラインをクラッシュさせ、攻撃者が意図したと思われるよりも早く開発者とセキュリティチームに警告を発した。この混乱により、攻撃の範囲が限定され、盗難の成功件数が減少した。
最小限の金銭的被害
ブロックチェーン分析によると、攻撃者が盗んだ金額はごくわずかだった。NPM攻撃」というラベルでアーカムの事件にリンクされたウォレットをグループ化した研究者@4484は、盗まれた資金がわずか503.59ドルであることを発見した。数時間前、この数字は66ドルであり、総額は少しずつ増加しているかもしれないが、潜在的な侵害の規模に比べればごくわずかであることを示している。
DefiLlamaの創設者である0xngmi(仮名)は、影響が限定的であった理由を説明した。悪意のあるコードは、宛先アドレスの置き換えなど、侵害された依存関係を使用してウェブサイト上のトランザクションを変更することができました。しかし、ユーザーはウォレットでこれらの変更されたトランザクションを手動で承認する必要があり、自動的な資金流出を防いでいた。
セキュリティ団体であるSecurity Allianceは、この結果を「幸運だった」と評しており、攻撃者がペイロードをより効果的に実行していれば、潜在的な被害は甚大なものになっていた可能性があると指摘している。
危機一髪
9月の故宮サプライチェーン攻撃は、警告であると同時に注意喚起でもある。実際の被害は少なかったが、潜在的な被害は甚大であった。影響を受けたパッケージのダウンロード数は10億を超え、この事件は、侵害されたアカウントがいかにエコシステム全体に波及するかを実証した。
暗号のユーザーと開発者は、常に進化する脅威の状況に直面している。ハードウェアのウォレットとトランザクション検証は依然として信頼できる防御策であるが、攻撃者はソフトウェアのサプライチェーンの弱点を探り続けるだろう。最新のエピソードはほとんど「犠牲者なし」で終わったかもしれないが、次のエピソードははるかに大きなダメージを与える可能性がある。
ソラナフロアの続きを読む
ソラナには知覚の問題があると思いますか?
