LedgerのCTO、シャルル・ギエメは、広く使用されているNPMパッケージに関与したサプライチェーン攻撃についてXで報告しました。
大規模なサプライチェーン攻撃が進行中です:信頼できる開発者のNPMアカウントが侵害されました。影響を受けたパッケージはすでに10億回以上ダウンロードされており、JavaScriptエコシステム全体が危険にさらされている可能性があります。
悪意のあるペイロードは機能します…
— チャールズ・ギレメ (@P3b7_) 2025年9月8日
CoinDeskの報告によると、1億を超えるダウンロード数の一部のコンプロマイズされたバージョンには、暗号取引における送金先アドレスを「その場で」置き換えることができるコードが含まれており、攻撃者が管理するウォレットに資金をリダイレクトすることが可能です。このシナリオは、OWASPのような業界団体が発表したサプライチェーン保護の推奨事項と一致しており、サプライチェーンのコンプロマイズが大規模な影響を及ぼす可能性があることを強調しています。
私たちの脅威インテリジェンスチームが過去24時間に収集したデータによると、複数のリポジトリやビルドパイプラインで説明されている技術と一致した侵害の兆候が現れています。私たちが協力しているアナリストも、インシデントの範囲が推移的依存関係とレジストリのサイズによって拡大されていることを強調しています。NPMレジストリは200万以上のパッケージをホストしており、侵害されたモジュールの伝播の可能性が高まっています。
攻撃メカニズム:アドレスが「オン・ザ・フライ」で変更されました
つまり、悪意のあるペイロードは、オンチェーン操作中および取引生成または署名の瞬間に両方でアクティブになります。実際には、マルウェアが受取人アドレスを傍受し、悪意のあるアクターに属するアドレスに置き換えます。ユーザーは、一見「クリーン」な画面を見て、最終的な取引が異なるアドレスに資金を送信していることに気付かないかもしれません。この動態は、The Blockによっても確認されています。この操作は、最後の確認ステップまで見えないようにすることを目的としていることに注意が必要です。
NPM攻撃のアップデート:攻撃は幸いにも失敗し、ほとんど被害者はいませんでした。
それは、資格情報を盗み、攻撃者に悪意のあるパッケージの更新を公開するアクセスを与える偽のnpmサポートドメインからのフィッシングメールから始まりました。挿入されたコードはウェブ暗号活動を標的にしました,… pic.twitter.com/lOik6k7Dkp
— チャールズ・ギルメット (@P3b7_) 2025年9月9日
関与するパッケージ:番号、仮の名前、配布
初期の分析によると、妥協は広く使用されているライブラリへのアクセスを持つメンテナーのアカウントを悪用することによって発生したことを示しています。流布されている名前の中には、たとえば、npmjs.comで公式プロフィールを確認できるパッケージerror-exが含まれていますが、公式リストはまだ更新中です。影響は依存関係によるカスケード効果によって拡大します:単一の妥協されたモジュールがインポートチェーンのおかげで数百のプロジェクトに広がる可能性があります。実際、JavaScriptコードのモジュール性は、依存関係が深くネストされている場合に問題が広がるのを容易にします。
エクスポージャースケール:リスクのあるバージョンの累積ダウンロードが10億を超えています。
ベクター:盗まれた資格情報または侵害されたパイプラインを通じたNPMに関する出版物。
範囲:ウェブプロジェクトとウォレットで使用されるコアライブラリ。
影響を受けたパッケージとバージョンの公式リストは部分的であり、NPMのアドバイザリーおよびメンテイナーのリポジトリを監視することが推奨されます。しかし、決定的なコミュニケーションが行われるまで、全依存関係チェーンをリスクと見なすことが賢明です。
ユーザーとビジネスへの影響
アドレスの巧妙な置き換えに続く直接的な暗号盗難。
dApp、拡張機能、デスクトップ/ウェブウォレットにおけるアプリケーションの整合性が損なわれました。
汚染されたパッケージを統合するプロジェクトに対するレピュテーショナルリスク。
直ちに行うべきこと:緊急チェックリスト
エンドユーザー(crypto)
取引情報(画面と明確な署名を明示するウォレットを選択してください – 明確な署名)、確認する前にデバイス上でアドレスと金額を確認します。実用的なガイダンスについては、ハードウェアウォレットの確認に関するガイドをご覧ください。
盲目的なサインを避け、未確認のQRコードの使用を制限してください。
表示されたアドレスを安全なコピーと比較し、頻繁な受取人にはホワイトリストを使用してください。
この予防措置は重要です。なぜなら、ハードウェアウォレットでの確認は実際に署名されているデータを示し、ホストソフトウェアによるアドレスの置き換えが明らかになるからです。この文脈では、デバイスの画面での確認がエラーや上流の操作の可能性を減少させます。
開発チームのための
重要な依存関係の自動更新を一時的に中断します。
疑わしい期間中に公開されたバージョンの監査とロールバックを実行します。
NPMトークンを回転させ、メンテナーとリリース担当者に2FAの有効化を必須にしてください(こちらを参照)。
出版物の出所システムを有効にし、ビルドアーティファクトに署名します。
プロジェクトが暴露されているかどうかを確認する方法
疑わしい依存関係とインストールされたバージョン範囲を迅速に特定することは重要です:迅速な偵察はパイプライン内のドミノ効果を制限します。
npm ls error-ex (英語)
NPM監査–生産
npm監査–json> audit.json
npm ci –ignore-scripts
npm config set audit-level=high
npm view error-ex バージョン –json
npm view error-ex time –json
CIの文脈では、ignore-scripts=trueを設定することで悪意のあるポストインストールスクリプトの実行リスクを軽減できます。ただし、予期しない逸脱を避けるために、すぐに再現可能なベースラインを確立することをお勧めします。CI検証に関する拡張チェックリストについては、サプライチェーンのベストプラクティスに関するページを参照してください。
サプライチェーンの強化:推奨される技術的防御
決定論的ロックファイル(package-lock.json)を使用し、再現性を確保するためにnpm ciでデプロイします。
NPMの公開および重要なアクセスに2FAを有効にし、制限されたスコープのトークンを使用します (automation vs. publish)。
必須のコードレビューを実施し、アーティファクト署名を伴う孤立したCIパイプラインを使用してください。
出所システムを採用し、npmパッケージの出所およびSLSAのような標準に関する公式文書を参照してください。
使用可能な場合は、Dependabot、Renovate、およびsigstore/cosignなどのスキャンツールと制御された更新を使用してください。
メンテナーおよびリリースボットのアカウントに最小特権の原則を適用してください。
調査のタイムラインと状況
本日の2025年9月8日にアラートが公開され、現在検証が進行中です。公式のアドバイザリーと侵害されたパッケージおよびバージョンの更新リストは、段階的に公開される予定です。したがって、侵害の指標が確定するまで、非必須の更新を一時停止し、慎重なアプローチを維持することをお勧めします。さらなるフィードバックを待つ間、優先事項は露出を抑制し、すべての変更を注意深く文書化することです。
クリティカルアングル:依然として脆弱な信頼の連鎖
オープンソースのサプライチェーンは、アカウントアクセスとパブリッシングパイプラインが適切に保護されていない場合、脆弱なままです。この問題は、2025年において、2FA、出所の確認、厳格なレビューなどの対策が体系的に採用されないまま、多くの出版物が引き続き発生する場合、特に切迫したものとなります。
信頼が当然とされている限り、すべてのプロジェクトは他者によって生じるリスクにさらされ続けることになります。しかし、プロセスの小さな改善でも、攻撃面を大幅に減少させることができます。
ポイント
このエピソードでは、オープンソースソフトウェアにおけるサプライチェーンセキュリティの重要性が強調されています。調査が進行中である限り、優先事項は攻撃面を制限し、画面上のトランザクションデータを慎重に確認し、2FA、ロックファイル、および出所システムの採用を通じて出版プロセスを統合することです。
多くの専門家が指摘するように、アドバイザリーの透明性は、実際の影響を測定し、エコシステムへの信頼を回復する上で重要です。この文脈において、ベストプラクティスの遵守は唯一の即時の保護策です。
13k 人気度
17k 人気度
33k 人気度
50k 人気度
36k 人気度
NPMが攻撃を受ける: 侵害されたJavaScriptパッケージ、ハイジャックされた暗号アドレス。Ledgerからの警告...
LedgerのCTO、シャルル・ギエメは、広く使用されているNPMパッケージに関与したサプライチェーン攻撃についてXで報告しました。
大規模なサプライチェーン攻撃が進行中です:信頼できる開発者のNPMアカウントが侵害されました。影響を受けたパッケージはすでに10億回以上ダウンロードされており、JavaScriptエコシステム全体が危険にさらされている可能性があります。
悪意のあるペイロードは機能します…
— チャールズ・ギレメ (@P3b7_) 2025年9月8日
CoinDeskの報告によると、1億を超えるダウンロード数の一部のコンプロマイズされたバージョンには、暗号取引における送金先アドレスを「その場で」置き換えることができるコードが含まれており、攻撃者が管理するウォレットに資金をリダイレクトすることが可能です。このシナリオは、OWASPのような業界団体が発表したサプライチェーン保護の推奨事項と一致しており、サプライチェーンのコンプロマイズが大規模な影響を及ぼす可能性があることを強調しています。
私たちの脅威インテリジェンスチームが過去24時間に収集したデータによると、複数のリポジトリやビルドパイプラインで説明されている技術と一致した侵害の兆候が現れています。私たちが協力しているアナリストも、インシデントの範囲が推移的依存関係とレジストリのサイズによって拡大されていることを強調しています。NPMレジストリは200万以上のパッケージをホストしており、侵害されたモジュールの伝播の可能性が高まっています。
攻撃メカニズム:アドレスが「オン・ザ・フライ」で変更されました
つまり、悪意のあるペイロードは、オンチェーン操作中および取引生成または署名の瞬間に両方でアクティブになります。実際には、マルウェアが受取人アドレスを傍受し、悪意のあるアクターに属するアドレスに置き換えます。ユーザーは、一見「クリーン」な画面を見て、最終的な取引が異なるアドレスに資金を送信していることに気付かないかもしれません。この動態は、The Blockによっても確認されています。この操作は、最後の確認ステップまで見えないようにすることを目的としていることに注意が必要です。
NPM攻撃のアップデート:攻撃は幸いにも失敗し、ほとんど被害者はいませんでした。
それは、資格情報を盗み、攻撃者に悪意のあるパッケージの更新を公開するアクセスを与える偽のnpmサポートドメインからのフィッシングメールから始まりました。挿入されたコードはウェブ暗号活動を標的にしました,… pic.twitter.com/lOik6k7Dkp
— チャールズ・ギルメット (@P3b7_) 2025年9月9日
関与するパッケージ:番号、仮の名前、配布
初期の分析によると、妥協は広く使用されているライブラリへのアクセスを持つメンテナーのアカウントを悪用することによって発生したことを示しています。流布されている名前の中には、たとえば、npmjs.comで公式プロフィールを確認できるパッケージerror-exが含まれていますが、公式リストはまだ更新中です。影響は依存関係によるカスケード効果によって拡大します:単一の妥協されたモジュールがインポートチェーンのおかげで数百のプロジェクトに広がる可能性があります。実際、JavaScriptコードのモジュール性は、依存関係が深くネストされている場合に問題が広がるのを容易にします。
エクスポージャースケール:リスクのあるバージョンの累積ダウンロードが10億を超えています。
ベクター:盗まれた資格情報または侵害されたパイプラインを通じたNPMに関する出版物。
範囲:ウェブプロジェクトとウォレットで使用されるコアライブラリ。
影響を受けたパッケージとバージョンの公式リストは部分的であり、NPMのアドバイザリーおよびメンテイナーのリポジトリを監視することが推奨されます。しかし、決定的なコミュニケーションが行われるまで、全依存関係チェーンをリスクと見なすことが賢明です。
ユーザーとビジネスへの影響
アドレスの巧妙な置き換えに続く直接的な暗号盗難。
dApp、拡張機能、デスクトップ/ウェブウォレットにおけるアプリケーションの整合性が損なわれました。
汚染されたパッケージを統合するプロジェクトに対するレピュテーショナルリスク。
直ちに行うべきこと:緊急チェックリスト
エンドユーザー(crypto)
取引情報(画面と明確な署名を明示するウォレットを選択してください – 明確な署名)、確認する前にデバイス上でアドレスと金額を確認します。実用的なガイダンスについては、ハードウェアウォレットの確認に関するガイドをご覧ください。
盲目的なサインを避け、未確認のQRコードの使用を制限してください。
表示されたアドレスを安全なコピーと比較し、頻繁な受取人にはホワイトリストを使用してください。
この予防措置は重要です。なぜなら、ハードウェアウォレットでの確認は実際に署名されているデータを示し、ホストソフトウェアによるアドレスの置き換えが明らかになるからです。この文脈では、デバイスの画面での確認がエラーや上流の操作の可能性を減少させます。
開発チームのための
重要な依存関係の自動更新を一時的に中断します。
疑わしい期間中に公開されたバージョンの監査とロールバックを実行します。
NPMトークンを回転させ、メンテナーとリリース担当者に2FAの有効化を必須にしてください(こちらを参照)。
出版物の出所システムを有効にし、ビルドアーティファクトに署名します。
プロジェクトが暴露されているかどうかを確認する方法
疑わしい依存関係とインストールされたバージョン範囲を迅速に特定することは重要です:迅速な偵察はパイプライン内のドミノ効果を制限します。
インストールされているバージョンと依存関係のチェーンをリストする
npm ls error-ex (英語)
既知の脆弱性とアドバイザリーを確認する
NPM監査–生産
npm監査–json> audit.json
CIにおける非決定的な更新をブロックする
npm ci –ignore-scripts
より厳格な監査閾値を設定する
npm config set audit-level=high
利用可能なバージョンと公開日を確認する
npm view error-ex バージョン –json
npm view error-ex time –json
CIの文脈では、ignore-scripts=trueを設定することで悪意のあるポストインストールスクリプトの実行リスクを軽減できます。ただし、予期しない逸脱を避けるために、すぐに再現可能なベースラインを確立することをお勧めします。CI検証に関する拡張チェックリストについては、サプライチェーンのベストプラクティスに関するページを参照してください。
サプライチェーンの強化:推奨される技術的防御
決定論的ロックファイル(package-lock.json)を使用し、再現性を確保するためにnpm ciでデプロイします。
NPMの公開および重要なアクセスに2FAを有効にし、制限されたスコープのトークンを使用します (automation vs. publish)。
必須のコードレビューを実施し、アーティファクト署名を伴う孤立したCIパイプラインを使用してください。
出所システムを採用し、npmパッケージの出所およびSLSAのような標準に関する公式文書を参照してください。
使用可能な場合は、Dependabot、Renovate、およびsigstore/cosignなどのスキャンツールと制御された更新を使用してください。
メンテナーおよびリリースボットのアカウントに最小特権の原則を適用してください。
調査のタイムラインと状況
本日の2025年9月8日にアラートが公開され、現在検証が進行中です。公式のアドバイザリーと侵害されたパッケージおよびバージョンの更新リストは、段階的に公開される予定です。したがって、侵害の指標が確定するまで、非必須の更新を一時停止し、慎重なアプローチを維持することをお勧めします。さらなるフィードバックを待つ間、優先事項は露出を抑制し、すべての変更を注意深く文書化することです。
クリティカルアングル:依然として脆弱な信頼の連鎖
オープンソースのサプライチェーンは、アカウントアクセスとパブリッシングパイプラインが適切に保護されていない場合、脆弱なままです。この問題は、2025年において、2FA、出所の確認、厳格なレビューなどの対策が体系的に採用されないまま、多くの出版物が引き続き発生する場合、特に切迫したものとなります。
信頼が当然とされている限り、すべてのプロジェクトは他者によって生じるリスクにさらされ続けることになります。しかし、プロセスの小さな改善でも、攻撃面を大幅に減少させることができます。
ポイント
このエピソードでは、オープンソースソフトウェアにおけるサプライチェーンセキュリティの重要性が強調されています。調査が進行中である限り、優先事項は攻撃面を制限し、画面上のトランザクションデータを慎重に確認し、2FA、ロックファイル、および出所システムの採用を通じて出版プロセスを統合することです。
多くの専門家が指摘するように、アドバイザリーの透明性は、実際の影響を測定し、エコシステムへの信頼を回復する上で重要です。この文脈において、ベストプラクティスの遵守は唯一の即時の保護策です。