新しいサイバー攻撃が、ユーザーが取引を送信する際に暗号通貨を盗んでおり、多くの専門家はこれを史上最大のサプライチェーン攻撃と呼んでいます。ハッカーは、フィッシングメールを使用してnpmパッケージのメンテナアカウントに侵入しました。これらのメールは、本物のnpmレジストリをコピーした「[email protected]」から送信されたように見えました。メッセージは、メンテナに対し、2要素認証を更新しない限りアカウントがロックされると伝えました。メンテナがリンクをクリックすると、攻撃者はログインの詳細を入手し、人気のあるnpmパッケージ内にマルウェアを配置しました。
chalk、debug、ansi-stylesなど、広く使用されている18のJavaScriptライブラリが侵害されました。これらのパッケージは毎週数十億回ダウンロードされており、世界中の開発者によって使用されています。これは、JavaScriptエコシステム全体が危険にさらされた可能性があることを意味します。BleepingComputerは、攻撃者がこれらのライブラリにブラウザベースのインターセプターとして機能するコードを注入したと報告しました。このコードは、ネットワークトラフィックを監視し、Bitcoin、Ethereum、Solana、Tron、Litecoin、Bitcoin Cash間での暗号通貨トランザクションを検索しました。誰かが送金を行った場合、マルウェアはトランザクションが署名される前に、本物のウォレットアドレスをハッカーが制御するアドレスに置き換えました。
セキュリティ研究者のCharlie Eriksen氏は、マルウェアがいくつかの方法で機能すると説明しました。Webサイトに表示されるものを変更し、API呼び出しを改ざんし、ユーザーが意図していないトランザクションに署名するようにアプリを騙します。LedgerのCTOであるCharles Guillemet氏は、攻撃はまだ活発であり、暗号通貨ユーザーは、ソフトウェアウォレットのみを使用している場合は、オンチェーン取引を避けるべきだと警告しました。ハードウェアウォレットのユーザーは、署名する前に詳細を確認することで保護できますが、ハードウェアウォレットを持っていない人はより高いリスクに直面します。
研究者はまた、フィッシングインフラストラクチャが盗まれた詳細を「websocket-api2.publicvm.com」に送信していることも発見しました。これは、攻撃がよく組織されていることを示しています。これは、今年初めの他のnpmインシデントに続き、3月にethersパッケージをリバースシェルでパッチしたインシデントと、7月にeslint-config-prettierを標的としたインシデントが含まれます。キャンペーンは進化を続けており、今回は攻撃者がEthereumスマートコントラクトを新しい方法で使用しました。colortoolsv2およびmimelib2という2つのnpmパッケージは、Ethereumスマートコントラクト内に悪意のあるコマンドを隠しました。ダウンロードされると、パッケージは2段階目のマルウェアをインストールし、検出を困難にしました。
Ethereumスマートコントラクトは、ブロックチェーン上で実行される小さなプログラムです。これらは公開されており、オープンAPIのように機能します。この場合、ハッカーは、マルウェアをダウンロードするためのリンクを保存するために使用したため、誰かがパッケージをチェックした場合でも、危険なコードが表示されない可能性があります。この創造的なコマンドと制御の方法は、脅威アクターが検出を回避するためにどのように適応しているかを示しています。
攻撃者はまた、GitHubリポジトリを信頼できるものに見せかけようとしました。 solana-trading-bot-v2やethereum-mev-bot-v2などの偽のプロジェクトを作成しました。これらには多くのスター、ウォッチャー、コミットがありましたが、このアクティビティのほとんどは偽物でした。アカウントは同時に作成され、多くの場合、ファイルは1つだけで、自動化されたコミットによって数字が膨れ上がりました。このソーシャルエンジニアリングトリックは、悪意のあるnpmパッケージを仕事に含める可能性のある開発者にとって、リポジトリを本物のように見せました。
専門家は、サプライチェーン攻撃は信頼できるツールを標的とするため、特に危険であると警告しています。オープンソースライブラリ内にマルウェアを隠すことで、ハッカーは同時に何百万人もの開発者とエンドユーザーにリーチできます。今年だけでも、研究者はnpm、GitHub、PyPIで暗号通貨を盗むことを目的とした20以上のキャンペーンを発見しました。一部はインフォスティーラーを使用し、他のものはコインマイナーを展開し、多くは機密データをキャプチャするためにフィッシングに依存していました。
疑わしいドメイン、難読化されたコード、偽のリポジトリなどの侵害インジケーター(IOC)は、セキュリティチームがこれらの脅威を検出するのに役立ちます。それでも、多くのユーザーは、資金がなくなったことに気づくまで何も気づかないでしょう。今のところ、開発者は使用する前にパッケージ、メンテナ、コードを注意深く確認する必要があります。暗号通貨ユーザーは、ハードウェアウォレットを検討し、脅威が制御されるまで大規模な送金を避ける必要があります。この攻撃は、サイバー犯罪がどれほど急速に進化しているか、また、ソフトウェアサプライチェーンとデジタル資産の両方を保護することがいかに重要であるかを示しています。
