NPMのサプライチェーン攻撃により、一般的に使われているJavaScriptライブラリ(chalk、strip-ansi、color-convert)にクリプトクリッパーが仕込まれ、ウォレットアドレスをすり替えて資金を横取りする狙いがありました。セキュリティ研究者によると、攻撃はEthereumとSolanaのウォレットを標的にしており、被害額は現在までに50ドル未満と報告されています。
-
NPMパッケージのサプライチェーン侵害でクリプトクリッパーが注入された
-
依存関係にあるマルウェアによってEthereumとSolanaウォレットがアドレスすり替えの攻撃を受けた
-
悪意のあるアドレスは0xFc4a48で確認され、盗難額は50ドル未満と報告
NPMのサプライチェーン攻撃によるクリプトクリッパーの仕組みとウォレットのチェック方法、資金を守る手順の詳細を解説します。
クリプトウォレットを標的にしたNPMサプライチェーン攻撃とは?
NPMサプライチェーン攻撃は、開発者のNPMアカウントが乗っ取られ、人気のJavaScriptライブラリにクリプトクリッパーを注入される事件です。このマルウェアはトランザクション中にウォレットアドレスを書き換え、EthereumとSolanaのユーザーを狙いますが、被害額は現時点で50ドル以下と報告されています。
攻撃者はどうやってJavaScriptライブラリ経由でクリッパーを拡散させたのか?
攻撃者は広く使用されているNPM開発者アカウントに不正アクセスし、依存関係の奥深くにあるパッケージを改ざんしました。改ざんされた主なパッケージはchalk、strip-ansi、color-convertであり、それぞれ数億回から数十億回ダウンロードされているため、数多くのプロジェクトと開発環境が影響を受けました。
どのウォレットとアドレスが影響を受け、何が盗まれたのか?
Security Allianceによると、攻撃者は特にEthereumとSolanaのトランザクションを標的にしました。ブロックチェーン監視では、疑わしい悪意のあるアドレスは0xFc4a48と特定されています。初期の被害はわずかで、ETHで約5セント、ミームコインで約20ドル、その後合計で50ドル未満にとどまっています。
| 資産 | 報告額 |
|---|---|
| イーサ(ETH) | 0.05ドル(最初の報告) |
| ミームコイン(BRETT、ANDY、DORK、VISTA、GONDOLA) | 約20ドル |
| 合計報告額 | 50ドル未満 |
なぜchalkのような依存パッケージはリスクが高いのか?
小さなユーティリティパッケージは多くのプロジェクトの依存ツリーに深く組み込まれています。開発者はこれらを直接インストールしなくても利用するため、信頼されるパッケージが乗っ取られると影響範囲が膨大になります。ダウンロード数が多い分、一つのメンテナーアカウントの侵害で何百万もの開発環境に影響を与えかねません。
リスク軽減のために開発者とユーザーは何をすべきか?
専門家は直近のインストールを即座に監査し、依存関係の整合性チェックを実施することを推奨しています。LedgerのCTO、チャールズ・ギュイメ氏はオンチェーン取引の確認を慎重に行うよう警告しています。具体的には、ウォレットアドレスの手動検証、高額送金にはハードウェアウォレット使用、開発環境の不審プロセスのスキャンが効果的です。
よくある質問
自分のプロジェクトが侵害されたパッケージを使っているかどうかはどう確認できる?
package-lock.jsonやyarn.lockにchalk、strip-ansi、color-convertが含まれているかを調べ、最近のアップデート履歴を確認し、既知の安全なバージョンとチェックサムを比較してください。オフライン検証や隔離環境でのビルド再現も有効です。
クリプトクリッパーは暗号通貨以外のプロジェクトにも感染するか?
はい。クリッパーはシステムレベルでクリップボードやトランザクションデータを改ざんするため、クリップボード操作やアドレス注入を行う環境であれば、暗号通貨プロジェクトに限らず感染のリスクがあります。
ハードウェアウォレットを使っていれば安全?
ハードウェアウォレットはトランザクション情報のデバイス上での確認を必須としているためリスク軽減に非常に有効です。ただし、受取アドレスは必ずウォレット画面で確認し、ファームウェアのアップデートを怠らないようにしましょう。
まとめ
- 影響範囲の広さ:小さなユーティリティパッケージの侵害が何百万もの開発者に波及する可能性があります。
- 被害額は小さいがリスクは高い:現時点で被害は50ドル未満ですが、潜在的な被害は大きいです。
- 即時対応が必要:依存関係の監査、チェックサム検証、ハードウェアウォレットの利用、開発マシンのスキャンを行いましょう。
結論
このNPMサプライチェーン攻撃は、一つのメンテナーアカウントの乗っ取りによってクリプトクリッパーがJavaScriptエコシステム全体に広がる危険性を示しています。Security Allianceとブロックチェーン監視は悪意あるアドレス0xFc4a48を特定し、被害は現在50ドル未満と報告しています。開発者および利用者は上記の対策を必ず実行してください。2025年9月8日、COINOTAGより公開。更新:2025年9月8日。
