Source: https://krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-steal-crypto/
🛡 概要
最近、少なくとも18の人気JavaScriptコードパッケージがハッキングされ、暗号通貨を盗むための悪意のあるソフトウェアが追加される事態が発生しました。これらのパッケージは毎週20億回以上ダウンロードされており、攻撃は開発者のフィッシングによって引き起こされました。攻撃は迅速に封じ込められましたが、同様の攻撃がより悪意のある目的で行われる可能性があり、さらなる脅威をもたらすかもしれません。
🔍 技術詳細
Akidoというセキュリティ企業によると、ハッカーはNPM(Node Package Manager)上の広く使用されているコードライブラリに悪意のあるコードを注入しました。このコードは、ブラウザ内の暗号通貨活動を密かに傍受し、ウォレットのやり取りを操作し、攻撃者が制御するアカウントに資金をリダイレクトします。この手法は、ネットワークトラフィックとアプリケーションAPIを同時にハイジャックすることができ、ユーザーが正しいインターフェースであっても、裏で取引をリダイレクトする危険性があります。
⚠ 影響
この攻撃により、影響を受けた多くのウェブサイトやアプリケーションが、無意識のうちに攻撃者に暗号通貨を奪われるリスクにさらされました。特に、開発者のアカウントがフィッシング攻撃によって侵害されると、悪意のあるコードが簡単に追加される可能性があります。さらに、過去のNPM開発者の攻撃事例もあり、ユーザーのデバイスから認証トークンを盗むケースも存在しています。これにより、開発者はプロジェクトを放棄せざるを得ない状況に追い込まれることもあります。
🛠 対策
開発者やプラットフォームは、コードの新しいコミットに対してより高いレベルの認証を要求する必要があります。特に人気のあるパッケージについては、信頼できるソースからのものであることを確認する仕組みが求められます。開発者は、アカウントの安全性を確保し、フィッシング攻撃に対して警戒を怠らないことが重要です。また、コードリポジトリのセキュリティ対策を強化し、悪意のあるコードの追加を防ぐための措置を講じることが必要です。これにより、開発者やユーザーが安心して利用できる環境を整えることができるでしょう。
