ソラナ ユーザーが悪意のある NPM パッケージによって秘密鍵を盗まれた事件の分析

イベントの背景

最近、あるユーザーがオープンソースプロジェクトを使用した後に資産を盗まれる被害に遭い、安全チームの調査により、これは悪意のあるNPMパッケージに関与する攻撃事件であることが判明しました。攻撃者はGitHub上で合法的なプロジェクトを装い、ユーザーを誘惑して悪意のあるコードを含むプログラムをダウンロードして実行させることで、ユーザーのウォレット秘密鍵を盗みました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃手法の分析

セキュリティチームは、問題のある GitHub プロジェクトを徹底的に分析しました。このプロジェクトは高いスターとフォークの数を持っていますが、コードの更新が異常に集中しており、継続的なメンテナンスの特徴が欠如しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

さらに調査したところ、プロジェクトは crypto-layout-utils という疑わしいサードパーティパッケージに依存していることが判明しました。このパッケージは NPM の公式から削除されており、指定されたバージョンは公式の履歴に存在しません。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃者は package-lock.json ファイルを変更することにより、依存パッケージのダウンロードリンクを自分が管理する GitHub リポジトリのアドレスに置き換え、NPM のセキュリティ審査を回避しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この疑わしい依存パッケージをダウンロードして分析した後、そのコードが高度に難読化されていることがわかりました。難読化を解除したところ、これは悪意のあるNPMパッケージであり、その機能には以下が含まれます：

1. ユーザーのコンピュータ上の敏感なファイルとディレクトリをスキャンする
2. ウォレットまたは秘密鍵に関連する内容を探す
3. 発見された機密情報を攻撃者が管理するサーバーにアップロードする

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

また、攻撃者は複数の GitHub アカウントを制御して悪意のあるプロジェクトをフォークし、プロジェクトの人気を高め、拡散範囲を広げました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃の影響

被害者は何の警戒もせずに悪意のある依存関係を含むNode.jsプロジェクトを実行し、ウォレットの秘密鍵が漏洩し、暗号資産が盗まれました。

オンチェーン分析ツールを通じて追跡したところ、盗まれた資金の一部がある取引所に移動されていました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

セキュリティの提案

1. 出所不明の GitHub プロジェクトには慎重に対処してください。特に、ウォレットや秘密鍵の操作に関わるプロジェクトについては注意が必要です。
2. 独立したかつ敏感なデータのない環境で未知のプロジェクトを実行し、デバッグします。
3. 開発者はサードパーティの依存パッケージのセキュリティレビューを強化する必要があります。
4. ユーザーは定期的にセキュリティソフトウェアを更新し、警戒を怠らないようにしてください。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

関連情報

セキュリティチームは、この種の攻撃に関与する複数のGitHubリポジトリと悪意のあるNPMパッケージを特定しました。開発者とユーザーは、これらの既知の悪意のあるリソースの使用を避けるために警戒を強めることをお勧めします。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この種の攻撃は、ソーシャルエンジニアリングと技術的手法を組み合わせており、非常に高い隠蔽性と欺瞞性を持っています。組織内部であっても、この種の攻撃を完全に防御することは非常に難しいです。したがって、安全意識の向上、コードレビューの強化、環境の隔離が特に重要となります。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる