Cybersecurity
NPMサプライチェーン攻撃:何が起こったのか、そしてどのように修復するのか
Securities.ioは厳格な編集基準を維持しており、レビューされたリンクから報酬を受け取る場合があります。当社は登録投資顧問ではなく、これは投資アドバイスではありません。 アフィリエイト開示.
セキュリティ専門家が、Node.js エコシステムを標的としたサプライチェーン攻撃を特定し、すでに 18 個の npm パッケージが侵害されていたため、暗号通貨業界と世界全体が最近、驚愕の事態に陥りました。
なぜなら、これらの少数のパッケージが毎週数十億回ダウンロードされるからです。
ソフトウェアパッケージ 使用されている サードパーティ製ソフトウェアを配布するため。パッケージマネージャーを介して外部ソースから取得されることが多く、通常、ソースコード、ライブラリ、ドキュメント、およびソフトウェアのビルドと実行に必要なその他のファイルが含まれています。
マルウェアを含むパッケージは、正規のパッケージを装っていますが、実際にはソフトウェアに感染することを目的とした悪意のあるパッケージです。システムに侵入すると、悪意のあるパッケージ内のマルウェアはファイルを改変したり、 データを盗むさらには、システム全体を乗っ取って攻撃者の望みどおりに行動することもあります。
Python や .NET などの他の主要なオープンソース エコシステムも同様に攻撃に対して脆弱ですが、JavaScript は広く使用されているため、サイバー犯罪者に対して特に脆弱です。
Node.js は JavaScript 上に構築されたオープンソースのランタイム環境であり、開発者が Web ブラウザー外でコードを実行できるようにします。
伝統的に、 ウェブページをインタラクティブにするために主に知られているインタープリタ型プログラミング言語が主に使用されました ブラウザ内でのクライアント側 Web 開発用でしたが、Node.js により JavaScript の使用範囲がサーバー側やその他のアプリケーションに拡張されました。
Node.js を使用すると、開発者は Web サーバー、API、ツールなどの高速でスケーラブルなアプリケーションを構築できます。
npm を通じて利用できるオープンソース ライブラリとツールの広大なエコシステムの恩恵を受けることで、開発が簡素化され、さまざまな機能のソリューションが提供されます。
Node Package Manager(npm)はJavaScript開発における重要なツールであり、 使用されている コードパッケージの検索、ビルド、管理に役立ちます。依存関係の管理、コラボレーションの実現、ワークフローの合理化に役立ちます。
この世界最大のソフトウェア レジストリには 3 万を超えるコード パッケージが含まれており、完全に無料で使用できます。
npmの公開ソフトウェアパッケージは、登録なしで誰でもダウンロードできます。オープンソース開発者はソフトウェアの共有や貸し借りにnpmを使用しており、多くの組織はプライベート開発の管理にnpmを使用しています。
コンピューターに npm をインストールするには、まず Node.js をインストールする必要があります。
JavaScript のパッケージ マネージャーは、世界有数のソフトウェア開発プラットフォームである GitHub の子会社である npm, Inc. によって管理されています。GitHub は、開発者の支援を目的としてこのテクノロジー大手が 2018 年に 7.5 億ドルで買収して以来、Microsoft の所有となっています。
先週、世界中で17万人以上の開発者が利用するツールが不正アクセスを受け、インターネット上でパニックが巻き起こりました。しかし、専門家が早期に発見したため、攻撃者は50ドルを超える金額を盗むことはできなかったため、一時的なものでしかありませんでした。それでは、何が起きたのか見ていきましょう。
NPMサプライチェーン攻撃で何が起こったか(2025年XNUMX月)
JavaScriptエコシステムで発生した大規模なサプライチェーン攻撃では、ハッカーが一連のnpmパッケージにマルウェアを仕掛けました。攻撃の目的は、無防備なユーザーからデジタル資産を盗むことでした。
特に、開発者「qix」のnpmアカウントがハッキングされました。
Qixはオープンソースのメンテナーアカウントであり、 危うくされた フィッシング攻撃によって。 この 攻撃者は18個の人気npmパッケージに悪意のあるコードを感染させました。これらのパッケージは、毎週数億回ダウンロードされています。 埋め込まれている フレームワーク、開発者ツール、および本番環境サービスにおいて。
影響を受けるパッケージには、最も人気のある chalk、debug、color-name、wrap-ansi、ansi-styles が含まれます。また、あまり人気のない npm パッケージには、backslash、chalk-template、has-ansi が含まれます。
スワイプしてスクロール→
| パッケージ | 侵害されたバージョン | 行動 |
|---|---|---|
| debug | 4.4.2 | 4.4.2 より前のバージョンに固定し、再インストールしてビルド ログをスキャンします。 |
| チョーク | 5.6.1 | 5.6.1 より前に固定し、クリーン ビルドを再デプロイします。 |
| ANSIスタイル | 6.2.2 | 6.2.2 より前に固定します。下流の部門を監査する |
| ANSI正規表現 | 6.2.1 | 6.2.1 より前のバージョンに固定 |
| ストリップ-アンシ | 7.1.1 | 7.1.1 より前のバージョンに固定 |
| wrap-ansi | 9.0.1 | 9.0.1 より前のバージョンに固定 |
| 色、色変換、色文字列、色名 | 5.0.1 / 3.1.1 / 2.1.1 / 2.0.1 | 事前にリストされたバージョンに固定し、再度ロックして再構築します |
| ANSI をサポート、カラーをサポート、スライス ANSI をサポート | 6.0.1 / 10.2.1 / 7.1.1 | 事前にリストされたバージョンにピン留めする |
| バックスラッシュ、is-arrayish、error-ex、simple-swizzle、chalk-template、supports-hyperlinks | 0.2.1/0.3.3/1.3.3/0.2.3/1.1.1/4.1.1 | 事前にリストされたバージョンにピン留めする |
| duckdb、@duckdb/node-api、@duckdb/node-bindings、@duckdb/duckdb-wasm | 1.3.3 / 1.3.3 / 1.3.3 / 1.29.2 | リストされているバージョンを避け、ベンダーのアップデートを待つ |
影響を受けたすべてのパッケージは、 削除されました npm レジストリによって。 価値の高いオープンソースのメンテナーを侵害することで、開発者がすべての依存関係を監査していないため、攻撃はオープンソースソフトウェア(OSS)エコシステムへの信頼を武器化しました。 彼らは使う。 彼らがやっていることは、その使用法と評判、そして レジストリのセキュリティ。
パッケージを危険にさらすために、ハッカーはフィッシングの手段を取りました。 攻撃者はまず、npm パッケージのメンテナーのアカウントを乗っ取るフィッシング キャンペーンを開始し、次に、侵害されたバージョンをアップロードする前に、悪意のあるコードを npm パッケージに挿入しました。
開発者のジョシュ・ジュノン氏は、npmを模倣した大規模な攻撃の一環であったフィッシングメールの被害者でした。攻撃者は、npmのログインページを模倣したフィッシングサイトを利用して、ジュノン氏の認証情報を盗み出しました。そして、攻撃者は侵入後すぐに、ジュノン氏のnpmアカウントに登録されていたメールアドレスを変更し、彼をロックアウトしました。
「やあ、そう、やられたんだ。みんなごめんね、すごく恥ずかしい」 書いた HackerNewsのJunon氏は、このインシデントを確認しました。彼は、影響を受けたのはnpmのみであることを明らかにした上で、次のように説明しました。
「一見、正当なサイトだと思いました。言い訳をしているわけではありませんが、ただ長い一週間を過ごし、朝から慌てふためいて、ToDoリストから何かを消そうとしていただけです。サイトに直接アクセスする代わりに、リンクをクリックするというミスを犯してしまいました。」
フィッシングメールはsupport [at] npmjs [dot] helpから送信され、ジュノン氏にリンクをクリックさせ、フィッシングサイトにリダイレクトさせるという脅し文句が使われていました。
攻撃者はnpmの社員を装い、2FA認証情報の更新を要求し、「アカウントセキュリティへの継続的な取り組み」の一環であり、すべてのユーザーに同じことを要求していると主張した。
「記録によると、前回の12FA更新から2か月以上経過しています」とフィッシングメールには記載されており、「期限切れの2FA認証情報をお持ちの方は、不正アクセスを防ぐため、10年2025月XNUMX日より一時的にロックされます」と付け加えられている。
その 同じメール も使用されました 他のパッケージメンテナーや開発者をターゲットにします。
影響を受けるパッケージの幅広い使用状況を考慮すると、これは重大なインシデントになる可能性があり、 それは処理されていなかった とても早く。
合気道セキュリティのチャーリー・エリクソン 報告書に記載されたnpm パッケージにウェブサイトのクライアントで実行されるコードが含まれていたため、数え切れないほどのウェブサイトがこの攻撃による非常に深刻な被害を回避しました。
「このマルウェアは本質的にブラウザベースのインターセプターであり、ネットワークトラフィックとアプリケーションAPIの両方をハイジャックします」と彼は攻撃分析の中で述べています。「危険なのは、複数のレイヤーで動作する点です。ウェブサイトに表示されるコンテンツの改ざん、API呼び出しの改ざん、ユーザーのアプリが署名していると認識している内容の操作などです。インターフェースが正しく見えても、その背後にあるトランザクションは リダイレクトされる 「バックグラウンドで。」
悪意のあるコード 設計された 暗号通貨を盗むため。 攻撃者は文字列をスキャンして暗号通貨ウォレットのアドレスを探し、暗号通貨関連のアプリケーションに取り組んでいる人々を危険にさらします。
このマルウェアは、ユーザーに知られることなくブラウザ内で静かに動作し、ウォレットアドレスを書き換えて資金を攻撃者が管理するアカウントにリダイレクトします。ビットコインの取引を直接乗っ取り、操作します。 (BTC )、エテリアム (ETH )、ソラナ (SOL )、トロン (TRX )ライトコイン (LTC )、ビットコインキャッシュ (BCH ) 侵害されたシステム上。
これを実行するために、悪意のあるコードはブラウザのアプリケーションプログラミングインターフェースを監視した。 ような window.ethereum のようなフェッチおよびウォレット インターフェース。
悪意のあるコードは「ブラウザ内の暗号資産とWeb3の活動を静かに傍受し、ウォレットのやり取りを操作し、資金と承認が不正に行われるように支払い先を書き換えます。 リダイレクトされる 「ユーザーには明らかな兆候がまったくなく、攻撃者が管理するアカウントに不正アクセスされる可能性がある」とエリクソン氏は述べた。
完了すると、マルウェアは痕跡を隠しながらバックグラウンドで活動を続け、何も知らない被害者のネットワーク上での将来のトランザクションを捕捉します。
攻撃の深刻さを考慮し、ハードウェアウォレットプロバイダーのLedgerのCTOであるCharles Guillemet氏は、仮想通貨ユーザーに対し、オンチェーン取引の確認には注意するよう警告した。影響を受けたパッケージは、 投稿に記載されたはすでに1億回以上ダウンロードされています。
大規模なサプライチェーン攻撃について、彼はコミュニティに共有した。 ターゲティングしています 暗号ソフトウェアウォレット 悪意のあるペイロードは「暗号資産アドレスを密かにオンザフライで交換して資金を盗みます。」
ハードウェアウォレットをご利用の場合は、署名する前にすべての取引を注意深く確認すれば安全です。ハードウェアウォレットをご利用でない場合は、今のところオンチェーン取引は控えてください。
– ギュイメット
一方、暗号分析プラットフォームであるDefiLlamaの匿名の創設者である0xngmiは、Xに シェア 「実質的な影響範囲は「すべてのウェブサイト」よりもはるかに小さい」と述べており、リスクにさらされる可能性があるのは、 更新されました After マルウェアに感染したnpmパッケージが公開されたそれでも、「この状況が収束し、不正なパッケージが削除されるまでは、暗号通貨ウェブサイトの利用は避けた方が安全だ」と彼は付け加えた。
結局、ハッカーたちはこのような大規模なサプライチェーン攻撃から50ドル相当の暗号通貨を盗むことができただけでした。この50ドルには、イーサリアム(ETH)やブレット(Brett)、アンディ(Andy)といったミームコインなど、様々な仮想通貨が含まれていました。
しかし、暗号情報プラットフォームであるセキュリティアライアンスにとって、それは何よりも幸運だった。 Xに記載:
「もっとひどい事態になっていた可能性もあった。開発者のマシンを標的とし、永続性を重視したバックドアが密かに展開されていれば、どれほど長く検知されずに残っていたかもしれない。」
それ以来、 多くの 暗号化アプリケーション など Aave, Uniswap, 元帳, ジュピター, MetaMask, ファントム, ブラスト、その他は、npm 攻撃の影響を受けないことを視聴者に通知しました。
攻撃は失敗に終わったものの、開発者にとって、最大限のセキュリティを確保するには、自身のコードベースを超えて対策を講じる必要があることを改めて認識させる出来事となった。信頼され、広く利用されているソフトウェアの依存関係でさえも、 妥協する いつでも。
ここでは、GitHub や npm などのコーディング プラットフォームも、広く使用されているパッケージの安全性を確保するために、さらに多くのことを行う必要があります。
「より人気のあるパッケージでは、インターネット上のどこかからランダムに入手したのではなく、信頼できる出所から入手したものであることを証明する必要がある。」
– エリクセン
結局のところ、コード リポジトリの侵害は開発者にとって非常に悲惨な結果をもたらす可能性があり、開発者はそのようなインシデントの結果としてプロジェクト全体を完全に放棄することになる可能性もあります。
この事件は、今日のソフトウェアエコシステムがいかに相互に繋がり、エクスプロイトに対して脆弱であるかを如実に物語っています。たった1つのアカウントが侵害されると、攻撃者は広範囲に及ぶ可能性があります。そのため、開発プロセスのあらゆる段階で、サプライチェーンのセキュリティ対策を強化することが不可欠です。
急増するマルウェアの脅威に対する防御
マルウェアの脅威が増加し、 攻撃はより高度化し、標的を絞るようになり、 重要 ユーザーが be 教育を受けた の三脚と 常に すべてのプラットフォームで警戒してください。
悪意のあるソフトウェア、つまりマルウェアは、実際には最も一般的なタイプのサイバー攻撃の 1 つです。 ここでは、攻撃者は、被害者が知らないうちに被害者のコンピュータにアクセスしたり、損害を与えたりする目的でソフトウェアコードまたはコンピュータプログラムを開発します。 侵害された.
毎年、世界中で数十億件ものマルウェア攻撃が、あらゆる種類のデバイスやオペレーティングシステムに対して発生しています。サイバー犯罪者はマルウェアを利用して、デバイスだけでなく企業ネットワーク全体を人質に取っています。
攻撃者は被害者のデバイスに不正アクセスすることで、ログイン認証情報、クレジットカード番号、個人情報などのデジタル資産や機密データを盗みます。 その他の貴重な情報。 企業は大量の個人データを保有しており、ハッカーがそれを悪用して多額の金銭をゆすることができるため、マルウェア攻撃はますます企業を標的にしています。
データは、 大多数の組織(59%)がそのような攻撃を受けた。 2024年には、中小企業でさえ安全とは言えず、昨年は47%の企業がランサムウェアの被害に遭いました。また、この期間に支払われる身代金の平均額は500%増加し、2万ドルに達しました。
マルウェア攻撃からの復旧にかかる平均コストも 2.73 万ドルにまで上昇しています。 現在インターネットが直面している最大の脅威の一つはマルウェアであり、これは様々な コンピュータ システムとそのユーザーに危害を加えることを唯一の目的とするフォーム。
ウイルス、ランサムウェア、トロイの木馬、ワーム、スパイウェア、アドウェア、クリプトジャッキングはすべて異なる種類のマルウェアです。 デザインされた ネットワークに不正にアクセスしたり、コンピュータ システムに損害を与えたりすること。
攻撃の根本原因に関しては、 最大 32 番目は脆弱性を悪用する攻撃者によるもので、29% を占めています。次に、資格情報の侵害 (23%)、悪意のある電子メール (XNUMX%) が続きます。
今、 ただ この常に存在する脅威から自分自身を守るにはどうすればよいのでしょうか? 最初の、そして最も簡単なステップは、コンピューターとソフトウェアを常に最新の状態に保つことです。 だから、 重要なのは、 インターネット上のあらゆるものをクリックするのはやめましょう。特に暗号通貨ユーザーであれば、リンクには疑いの目を向け、確信が持てないものは絶対にダウンロードしないでください。
メールの添付ファイルについても同様です。疑わしいメールは開かないように注意し、ファイルの共有は最小限に抑えるようにしてください。 デバイスにウイルス対策ソフトウェアをインストールしておくことが賢明です。
マルウェア攻撃は避けられませんが、組織は防御力を強化することでマルウェア攻撃に備えることもできます。 最も簡単な方法は、強力なパスワード、多要素認証、VPNを使用することです。これらを使用することで、個人もより効果的に自分自身を保護することができます。.
組織は、デバイスを常に監視し、不審なアクティビティの兆候がないか確認し、脆弱性を評価し、侵入テストを実施する必要があります。また、ネットワークから切断されたドライブに機密データをバックアップしておくことで、マルウェア攻撃からの復旧に役立ちます。
従業員は次のことを行う必要があります 訓練を受ける 〜へ スポット このような攻撃 優れた インシデント対応計画を策定し、連絡先を把握することで迅速に対応します。 に マルウェアの脅威が疑われる。
ゼロトラスト・ネットワーク・アーキテクチャを活用することで、企業は誰もアクセスすべきでないデータや資産にアクセスできないようにすることができます。ゼロトラストでは、ユーザーは決して信頼されず、常に検証されます。
今日のハイパーデジタル 生活これらの実践は役立つ XNUMXつ 守ります 自分 ますます相互につながる世界の危険に対抗するため。
悪意のあるパッケージから身を守るには、一般的なマルウェアセキュリティの推奨事項がnpm攻撃にも適用されます。しかし、 もちろん、エコシステムはオープンな性質、小さなパッケージの頻繁な再利用、大きな依存関係ツリーなどにより特に脆弱であるため、追加の特定の予防措置も講じる必要があります。
この深刻な脅威から身を守るためには、インストール前にパッケージの信頼性を必ず二重チェックする必要があります。パッケージの整合性を検証することで、依存関係ツリーが改ざんされていないことを確認できます。
違法性の兆候を探すときは、パッケージの出所と所有権に加えて、 メンテナーに対して行われた変更。 我が国 かもしれません また したい パッケージの機能とその必要性について調べます。
新しい脅威を継続的に監視し、状況を緩和するための実用的なアドバイスを提供するセキュリティ ツールを使用します。 npm監査チェックを実行できる プロジェクトの依存関係における既知の脆弱性をチェックします。また、デプロイ前に自動セキュリティスキャンを実施することで、レビューおよび承認されたコードのみが本番環境に導入されることが保証されます。
現在、最新のマルウェア攻撃から身を守るには、侵害を受ける前に、package.json のオーバーライド機能を使用して、影響を受けるパッケージを最も安全なバージョンに固定する必要があります。
npm 監査を実行するか、ソフトウェア構成分析(SCA)ツールを使用して、依存関係ツリー内の影響を受けるバージョンを確認します。ビルドログ、開発環境、送信トラフィックに疑わしいアクティビティがないか確認し、侵害の兆候(IoC)を監視します。
サイバー攻撃に対抗した上位 5 社のリストについては、ここをクリックしてください。
最終的な考察: オープンソースの依存関係を強化する
インターネット上の脅威は常に増大し、より巧妙化しています。
自律的AI 攻撃者 回転 新しい攻撃ベクトルと ターゲット リソースが不足しているプロジェクトでは、開発者、企業、ユーザーにとって、脅威が現れるのを待つのではなく、 現れる 演技、しかし 取る 積極的な対策 なぜなら 弱いリンクは 降ろす システム全体。
新たな脅威に関する情報を常に把握し、ソフトウェアサプライチェーンを継続的に監査することで、 の三脚と 常に進化するサイバーリスクから真に身を守るために、脅威を監視します。
