不正コード混入で仮想通貨オンチェーン送金にすり替えリスク、専門家指摘

ハッカーが著名開発者のNPMアカウントを乗っ取り、週10億回以上ダウンロードされるライブラリに悪意あるコードを仕入込んだことがわかった。レジャーのCTO チャールズ・ギレメ氏が9月8日、仮想通貨資金への重大リスクを警告した。

NPMはウェブサイトやアプリの部品を共有するプラットフォームで、インターネットの基盤技術として機能している。

攻撃対象となったのは「error-ex」をはじめとするチョーク、ストリップアンシなど数十のパッケージだ。これらは無数のアプリとサービスに組み込まれており、オープンソースサプライチェーン攻撃として史上最大規模となる可能性があると指摘されている。

今回のマルウェアは仮想通貨取引を監視し、送金時にウォレットアドレスを攻撃者管理のものに置換する。ウェブサイト表示の改ざんからバックグラウンド処理まで複数レイヤーで取引を乗っ取る仕組みだという。

特にメタマスクなどのウォレットが検出された場合、取引データを送信前に改ざんし攻撃者アドレスに置き換える。ユーザーが確認画面の詳細を注意深くチェックしなければ、資金が盗まれてしまう危険性がある。

また、専門家はハードウェアウォレット使用時の画面確認を強く推奨している。ウォレット企業LedgerのCTOは、ソフトウェアウォレット単体利用者は攻撃の全容が判明するまでオンチェーン取引の停止を検討すべきとしている。

現在、被害を受けた開発者とNPMセキュリティチームが対応中で、悪意あるコードの大部分は既に削除済みだ。しかし依存関係やロックファイルに影響を受けたバージョンが残存している可能性があり、プロジェクトの監査が必要となっている。

なお、9日時点のアーカム・インテリジェンスの報告によると、これまでに合計159ドル相当の仮想通貨が盗まれたことが確認された。

ウォレット側からの声明

さらに、主要ウォレット各社は安全声明を発表した。ファントムは「リスクはない」と明言し、厳格なバージョン管理により脆弱パッケージは使用していないと説明。メタマスクもラバモートとブロックエイドによる多層防御システムで悪意あるコードから保護されていると強調している。

UniswapやOKX Wallet、Suiなどのプロジェクトも今回の出来事に影響されていないと報告している。

関連： 米歳出法案、財務省に戦略的ビットコイン準備金の報告を指示

関連： スイスボーグで61億円相当ソラナが不正流出、自社資金で補償計画