著名な開発者のNPMアカウントがハッキングされ、chalkやcolor-convertのようなパッケージの悪意のあるバージョンが公開されました。これらは数十億回ダウンロードされており、巨大なサプライチェーンリスクを引き起こしています。
攻撃者は、クリプトウォレットのアドレスをほぼ同じビジュアルで置き換えるクリップボードハイジャッカーを埋め込み、( Levenshtein距離)を使用するか、ブラウザで検出されたアドレスを積極的にオーバーライドして取引を傍受します。
ハッカーが得た総額は約 ~$496 に過ぎませんが、影響を受けたパッケージのほとんどは修正されるか削除されました。主要なウォレット(、例えばMetaMaskやPhantom)は影響を受けていないことが確認されていますが、警戒は依然として必要です。
大規模なNPMサプライチェーン攻撃が広く使用されているJavaScriptパッケージを侵害しました—10億回以上ダウンロードされており—暗号アドレスハイジャッカーを注入し、静かに資金を盗んでいます。これが何が起こったのか、そして自分をどのように守るかについて説明します。
9月9日、北京時間、Ledgerの最高技術責任者チャールズ・ギルメットがX上で警告を発表しました:「大規模なサプライチェーン攻撃が現在進行中であり、著名な開発者のNPMアカウントが侵害されました。影響を受けたパッケージは10億回以上ダウンロードされており、これはJavaScriptエコシステム全体が危険にさらされている可能性があることを意味します。」
Guillemet氏はさらに、「悪意のあるコードは、バックグラウンドで暗号通貨アドレスを静かに改ざんして資金を盗むことで機能します。ハードウェアウォレットを使用する場合は、署名されたすべてのトランザクションを注意深くチェックしてください。ハードウェアウォレットを使用しない場合は、当面の間、オンチェーン取引を行わないでください。攻撃者がソフトウェアウォレットのニーモニックフレーズを直接盗んでいるかどうかは明らかではありません。」
何が起こった?
ギユメによって引用されたセキュリティレポートによると、この事件の直接的な原因は、著名な開発者@qixのNPMアカウントがハッキングされ、chalk、strip-ansi、color-convertを含む数十のソフトウェアパッケージの悪意のあるバージョンがリリースされたことでした。悪意のあるコードは、開発者やユーザーが依存関係を自動的にインストールした際に端末に広がった可能性があります。
Odaily Note: 侵害されたソフトウェアパッケージの週間ダウンロードデータ。
要するに、これはサプライチェーン攻撃の典型的な例です。攻撃者が開発ツールや依存システムに悪意のあるコード(、例えばNPMパッケージ)を挿入する攻撃です。NPMはNode Package Managerの略で、JavaScript/Node.jsエコシステムで最も一般的に使用されるパッケージ管理ツールです。その主な機能には、依存関係の管理、パッケージのインストールと更新、コードの共有が含まれます。
NPMのエコシステムは非常に大きく、現在利用可能なソフトウェアパッケージは数百万に上ります。ほぼすべてのWeb3プロジェクト、暗号ウォレット、フロントエンドツールはNPMに依存しています。NPMが多数の依存関係と複雑なリンクに依存しているため、サプライチェーン攻撃の高リスクなエントリーポイントとなっています。攻撃者が一般的に使用されるソフトウェアパッケージに悪意のあるコードを埋め込むと、何千ものアプリケーションやユーザーに影響を与える可能性があります。
上記の悪意のあるコード拡散フローチャートに示されているように:
あるプロジェクト(blue box)は、expressなどの一般的なオープンソースライブラリに直接依存します。
これらの直接の依存関係(は、他の間接の依存関係)に依存しています。例えば、lodash(のような黄色いボックスです。
もし間接依存関係が攻撃者によって悪意のあるコード)red box(を密かに埋め込まれた場合、それは依存関係のチェーンを通じてプロジェクトに入ることになります。
これは暗号通貨にとって何を意味しますか?
このセキュリティインシデントが暗号通貨業界に直接関連しているのは、ハッカーによって前述の汚染ソフトウェアパッケージに埋め込まれた悪意のあるコードが、ウォレットアドレスを置き換え、取引をハイジャックする高度な「暗号通貨クリップボードハイジャッカー」であり、暗号資産を盗むことにある。
Stress Capitalの創設者GE )@GuarEmperor(は、これをXでより詳しく説明しました。「クリップボードハイジャッカー」は、ハッカーによって挿入され、2つの攻撃モードを使用します。パッシブモードは「レーベンシュタイン距離アルゴリズム」を使用してウォレットアドレスを置き換えますが、その視覚的類似性のために検出が非常に難しいです。アクティブモードはブラウザ内の暗号化されたウォレットを検出し、ユーザーがトランザクションに署名する前にターゲットアドレスを改ざんします。
この攻撃はJavaScriptプロジェクトのベースレイヤーライブラリを標的にしているため、これらのライブラリに間接的に依存しているプロジェクトも影響を受ける可能性があります。
ハッカーはどれくらいの利益を得るのか?
ハッカーによって植え付けられた悪意のあるコードは、その攻撃アドレスも明らかにしました。ハッカーの主な攻撃アドレスはEthereum上の0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976であり、資金は主に以下の3つのアドレスから来ています:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkhamはこの攻撃の追跡ページを作成しました。ここでは、ユーザーがハッカーの利益と送金状況をリアルタイムで確認できます。
この投稿の時点で、ハッカーは攻撃からわずか496ドルの利益を上げていますが、悪意のあるコードの拡散の程度がまだ特定されていないことを考慮すると、この数字は今後も増加する可能性があります。開発者にはすでに通知されており、NPMセキュリティチームと連携して問題を解決するために積極的に取り組んでいます。悪意のあるコードは現在、影響を受けたパッケージのほとんどから削除されているため、状況はコントロールされています。
リスクを回避する方法は?
Defillamaの創設者@0xngmi Yu Xは、この事件が危険に聞こえるが、実際の影響はそれほど誇張されていないと述べました。なぜなら、この事件はハッキングされたNPMパッケージがリリースされて以来、更新をプッシュしたウェブサイトにのみ影響を与えるからです。他のプロジェクトは古いバージョンを引き続き使用します。また、ほとんどのプロジェクトは依存関係を修正するため、更新をプッシュしても古いセキュリティコードを使用し続けるでしょう。
しかし、ユーザーはプロジェクトが固定依存関係を持っているのか、動的にダウンロードされた依存関係を持っているのかを実際に知ることができないため、プロジェクト側は現在、自己検査を実施し、まずそれを開示する必要があります。
この投稿の時点で、MetaMask、Phantom、Aave、Fluid、Jupiterを含む複数のウォレットまたはアプリケーションプロジェクトは、この事件の影響を受けていないことを明らかにしています。したがって、理論的には、ユーザーは確認された安全なウォレットを使用して確認された安全なプロトコルにアクセスすることができます。ただし、まだセキュリティの開示を行っていない他のウォレットやプロジェクトについては、一時的に使用を避ける方が安全かもしれません。
〈一夜にして、「サプライチェーン攻撃」が見出しを支配しました:何が起こったのか?リスクをどのように軽減できますか?〉この記事は最初に《CoinRank》に掲載されました。
13k 人気度
18k 人気度
33k 人気度
36k 人気度
一夜にして、「サプライチェーン攻撃」が見出しを席巻しました:何が起こったのか?どのようにリスクを軽減できますか?
著名な開発者のNPMアカウントがハッキングされ、chalkやcolor-convertのようなパッケージの悪意のあるバージョンが公開されました。これらは数十億回ダウンロードされており、巨大なサプライチェーンリスクを引き起こしています。
攻撃者は、クリプトウォレットのアドレスをほぼ同じビジュアルで置き換えるクリップボードハイジャッカーを埋め込み、( Levenshtein距離)を使用するか、ブラウザで検出されたアドレスを積極的にオーバーライドして取引を傍受します。
ハッカーが得た総額は約 ~$496 に過ぎませんが、影響を受けたパッケージのほとんどは修正されるか削除されました。主要なウォレット(、例えばMetaMaskやPhantom)は影響を受けていないことが確認されていますが、警戒は依然として必要です。
大規模なNPMサプライチェーン攻撃が広く使用されているJavaScriptパッケージを侵害しました—10億回以上ダウンロードされており—暗号アドレスハイジャッカーを注入し、静かに資金を盗んでいます。これが何が起こったのか、そして自分をどのように守るかについて説明します。
9月9日、北京時間、Ledgerの最高技術責任者チャールズ・ギルメットがX上で警告を発表しました:「大規模なサプライチェーン攻撃が現在進行中であり、著名な開発者のNPMアカウントが侵害されました。影響を受けたパッケージは10億回以上ダウンロードされており、これはJavaScriptエコシステム全体が危険にさらされている可能性があることを意味します。」
Guillemet氏はさらに、「悪意のあるコードは、バックグラウンドで暗号通貨アドレスを静かに改ざんして資金を盗むことで機能します。ハードウェアウォレットを使用する場合は、署名されたすべてのトランザクションを注意深くチェックしてください。ハードウェアウォレットを使用しない場合は、当面の間、オンチェーン取引を行わないでください。攻撃者がソフトウェアウォレットのニーモニックフレーズを直接盗んでいるかどうかは明らかではありません。」
何が起こった?
ギユメによって引用されたセキュリティレポートによると、この事件の直接的な原因は、著名な開発者@qixのNPMアカウントがハッキングされ、chalk、strip-ansi、color-convertを含む数十のソフトウェアパッケージの悪意のあるバージョンがリリースされたことでした。悪意のあるコードは、開発者やユーザーが依存関係を自動的にインストールした際に端末に広がった可能性があります。
Odaily Note: 侵害されたソフトウェアパッケージの週間ダウンロードデータ。
要するに、これはサプライチェーン攻撃の典型的な例です。攻撃者が開発ツールや依存システムに悪意のあるコード(、例えばNPMパッケージ)を挿入する攻撃です。NPMはNode Package Managerの略で、JavaScript/Node.jsエコシステムで最も一般的に使用されるパッケージ管理ツールです。その主な機能には、依存関係の管理、パッケージのインストールと更新、コードの共有が含まれます。
NPMのエコシステムは非常に大きく、現在利用可能なソフトウェアパッケージは数百万に上ります。ほぼすべてのWeb3プロジェクト、暗号ウォレット、フロントエンドツールはNPMに依存しています。NPMが多数の依存関係と複雑なリンクに依存しているため、サプライチェーン攻撃の高リスクなエントリーポイントとなっています。攻撃者が一般的に使用されるソフトウェアパッケージに悪意のあるコードを埋め込むと、何千ものアプリケーションやユーザーに影響を与える可能性があります。
上記の悪意のあるコード拡散フローチャートに示されているように:
あるプロジェクト(blue box)は、expressなどの一般的なオープンソースライブラリに直接依存します。
これらの直接の依存関係(は、他の間接の依存関係)に依存しています。例えば、lodash(のような黄色いボックスです。
もし間接依存関係が攻撃者によって悪意のあるコード)red box(を密かに埋め込まれた場合、それは依存関係のチェーンを通じてプロジェクトに入ることになります。
これは暗号通貨にとって何を意味しますか?
このセキュリティインシデントが暗号通貨業界に直接関連しているのは、ハッカーによって前述の汚染ソフトウェアパッケージに埋め込まれた悪意のあるコードが、ウォレットアドレスを置き換え、取引をハイジャックする高度な「暗号通貨クリップボードハイジャッカー」であり、暗号資産を盗むことにある。
Stress Capitalの創設者GE )@GuarEmperor(は、これをXでより詳しく説明しました。「クリップボードハイジャッカー」は、ハッカーによって挿入され、2つの攻撃モードを使用します。パッシブモードは「レーベンシュタイン距離アルゴリズム」を使用してウォレットアドレスを置き換えますが、その視覚的類似性のために検出が非常に難しいです。アクティブモードはブラウザ内の暗号化されたウォレットを検出し、ユーザーがトランザクションに署名する前にターゲットアドレスを改ざんします。
この攻撃はJavaScriptプロジェクトのベースレイヤーライブラリを標的にしているため、これらのライブラリに間接的に依存しているプロジェクトも影響を受ける可能性があります。
ハッカーはどれくらいの利益を得るのか?
ハッカーによって植え付けられた悪意のあるコードは、その攻撃アドレスも明らかにしました。ハッカーの主な攻撃アドレスはEthereum上の0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976であり、資金は主に以下の3つのアドレスから来ています:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkhamはこの攻撃の追跡ページを作成しました。ここでは、ユーザーがハッカーの利益と送金状況をリアルタイムで確認できます。
この投稿の時点で、ハッカーは攻撃からわずか496ドルの利益を上げていますが、悪意のあるコードの拡散の程度がまだ特定されていないことを考慮すると、この数字は今後も増加する可能性があります。開発者にはすでに通知されており、NPMセキュリティチームと連携して問題を解決するために積極的に取り組んでいます。悪意のあるコードは現在、影響を受けたパッケージのほとんどから削除されているため、状況はコントロールされています。
リスクを回避する方法は?
Defillamaの創設者@0xngmi Yu Xは、この事件が危険に聞こえるが、実際の影響はそれほど誇張されていないと述べました。なぜなら、この事件はハッキングされたNPMパッケージがリリースされて以来、更新をプッシュしたウェブサイトにのみ影響を与えるからです。他のプロジェクトは古いバージョンを引き続き使用します。また、ほとんどのプロジェクトは依存関係を修正するため、更新をプッシュしても古いセキュリティコードを使用し続けるでしょう。
しかし、ユーザーはプロジェクトが固定依存関係を持っているのか、動的にダウンロードされた依存関係を持っているのかを実際に知ることができないため、プロジェクト側は現在、自己検査を実施し、まずそれを開示する必要があります。
この投稿の時点で、MetaMask、Phantom、Aave、Fluid、Jupiterを含む複数のウォレットまたはアプリケーションプロジェクトは、この事件の影響を受けていないことを明らかにしています。したがって、理論的には、ユーザーは確認された安全なウォレットを使用して確認された安全なプロトコルにアクセスすることができます。ただし、まだセキュリティの開示を行っていない他のウォレットやプロジェクトについては、一時的に使用を避ける方が安全かもしれません。
〈一夜にして、「サプライチェーン攻撃」が見出しを支配しました:何が起こったのか?リスクをどのように軽減できますか?〉この記事は最初に《CoinRank》に掲載されました。