標的型攻撃が、広く使用されているNPMモジュールを介してJavaScriptエコシステムを攻撃しています。攻撃者は、有名な開発者のアカウントを侵害し、暗号通貨の受信アドレスをその場で変更できるマルウェアを注入することで、オンチェーン取引中にユーザーを高い盗難リスクにさらしています。
何が起こっているのか?マルウェアが暗号通貨アドレスを乗っ取る
開発者が使用するコンポーネント、ライブラリ、ツール、サービスといったサプライチェーンに対する、これまでにない規模の攻撃が現在、JavaScriptエコシステム全体、ひいては暗号通貨エコシステム全体を襲っています。
実際、多くの人気ライブラリのメンテナである開発者「qix」の NPM アカウントが最近侵害されました。その結果、「chalk」、「strip-ansi」、「color-convert」、「error-ex」、「is-core-module」など、よく使用されるパッケージ(再利用可能な小さなコードモジュール)の悪意のあるバージョンが公開されました。
毎週数億回ものダウンロードがあるこれらのパッケージは、Node.js エコシステムで広く普及しており、何千ものプロジェクトに影響を与えていると思われます。
🚨 大規模なサプライチェーン攻撃が進行中です。評判の良い開発者の NPM アカウントが侵害されました。影響を受けたパッケージはすでに 10 億回以上ダウンロードされており、JavaScript エコシステム全体が危険にさらされている可能性があります。
悪意のあるペイロードは機能します…
— Charles Guillemet (@P3b7_) 2025年9月8日
一見すると壊滅的な状況に見えますが、この攻撃は、問題の NPM パッケージが侵害された後に更新をリリースしたウェブサイトのみに影響します。まだアップデートを行っていないプロジェクトは、侵害されていない以前のバージョンを引き続き使用しています。
注入されたマルウェアは、洗練された「クリプトクリッパー」であると思われます。
- ネットワークリクエストや暗号通貨取引を傍受します。
- データ内のビットコイン、イーサリアム、ソラナなどのアドレスを検出し、
- それらを攻撃者のアドレスに密かに置き換えます。
つまり、正当なアドレスに資金を送金していると思っていても、マルウェアがブラウザや携帯電話で最後の瞬間にアドレスを変更する可能性があるということです。
このコードは複数のレベルで動作します。ウェブサイトに表示されるコンテンツ、API の応答、アプリケーションが署名すると認識する内容を操作します。そのため、ハードウェアウォレットを使用していないユーザーにとっては、この攻撃は特に危険です。
保護方法
ハードウェアウォレット(Ledger、Trezor など)を使用している場合:署名する前に、ウォレットの画面(携帯電話やコンピューターではなく)に表示されているアドレスが正しいことを慎重に確認すれば、保護されます。
ソフトウェアウォレットを使用している場合、あるいはスマートコントラクトを利用している場合:オンチェーン取引を直ちに停止してください。
状況が収束するまで待機し、その後活動を再開することをお勧めします。
SwissBorg のパートナー企業がインシデントに見舞われ、193,000 SOL が失われる事態に
この 2 つの事件が関連しているかどうかはまだ不明ですが、取引プラットフォーム SwissBorg は最近、パートナーである Kiln の API に関連する脆弱性を特定し、その「SOL Earn」プログラムに約 193,000 SOL(ユーザーの 1% 未満)の影響があったと発表しました。
同社によれば、アプリケーションは引き続き安全に使用できる状態である。SwissBorg は損失を補填するため、直ちに SOL の現金資産を動員し、盗まれた資金の回収に向けてサイバーセキュリティの専門家との協力を開始した。影響を受けたユーザーには、近くメールで連絡がいく予定である。
