ハッカーは最近、NPMレジストリの開発者アカウントを悪用し、最も広く使用されているJavaScriptパッケージのいくつかにマルウェアを注入しました。これらのライブラリは合計で数十億回ダウンロードされており、無数のWebアプリケーションに不可欠であるため、この攻撃は歴史上最大のサプライチェーンの侵害の一つとされています。

事件は、攻撃者がNPMパッケージのメンテナーを狙ったフィッシングメールを使用することから始まりました。公式レジストリの通信を装ったこれらのメッセージは、開発者に対して偽のサイトで二要素認証情報を共有するように仕向けました。一度内部に侵入すると、ハッカーはchalk、debug、ansi-stylesといった主要なツールを含む18のライブラリに悪意のあるコードを注入しました。

注入されたマルウェアは特に暗号通貨ユーザーを標的にしています。これは静かに動作し、Ethereum、Bitcoin、Solana、Tron、Litecoin、Bitcoin Cashを含む暗号取引のネットワークトラフィックをスキャンします。知らないユーザーが送金を開始すると、マルウェアは意図されたウォレットアドレスを攻撃者が管理するものに静かに置き換え、各取引が注意深く確認されない限り、資金を検出せずにリダイレクトします。

セキュリティ専門家は、この出来事をソフトウェアサプライチェーンセキュリティの分岐点として説明しています。この攻撃はサーバーやアプリケーションコードの脆弱性を利用したものではなく、オープンソースのメンテナーに信頼を大きく損なう形で侵入することに成功しました。これは、エコシステム全体の安全性が単一の開発者アカウントに依存する可能性があることを浮き彫りにしています。

妥協されたパッケージは現在修正されており、即時の金銭的影響は限られているようですが（報告によれば50ドル未満の暗号が盗まれた）、事件の広範な性質から、ユーザーに対するリスクは依然として残っています。業界のリーダーは、ハードウェアウォレットを使用しない限り、オンチェーン取引を一時停止することを推奨し、すべての開発者とユーザーに対して取引の詳細を注意深く確認し、疑わしい行動に警戒するよう呼びかけています。

この事件は、オープンソースセキュリティの重要性と、急速に進化する暗号およびソフトウェア開発の世界で必要な警戒を強く思い出させるものです。