LedgerのCTO、NPMアカウントハッキング後にウォレット保有者に警告

Bitget App

スマートな取引を実現

Bitget

ニュース

Cryptotale2025/09/09 11:32

原文を表示

著者:Yusuf Islam

LedgerのCTO、NPMアカウントハッキング後にウォレット保有者に警告 image 0

数百万人が利用する暗号資産プラットフォーム向けのJavaScriptツールが大規模な攻撃を受けました。
LedgerのCTOは、ユーザーにすべてのトランザクションを確認し、ブラインドサインを避けるよう助言しました。
開発者には、パッケージのセキュリティ確保と修正が完了するまで自動アップデートを停止するよう指示されました。

JavaScriptエコシステムに対する広範なサプライチェーン攻撃が暗号資産業界を揺るがし、そのインフラ全体に脆弱な依存関係が露呈しました。2025年9月8日、Ledgerの最高技術責任者（CTO）であるCharles Guillemetは、攻撃者が著名な開発者のNPM（Node Package Manager）アカウントを侵害したことを確認しました。この侵害されたアカウントにより、ハッカーは広く利用されているJavaScriptパッケージに「crypto-clipper」マルウェアを注入することができました。

NEW: LEDGER CTO SAYS "IF YOU USE A HARDWARE WALLET, PAY ATTENTION TO EVERY TRANSACTION BEFORE SIGNING AND YOU'RE SAFE.IF YOU DON’T USE A HARDWARE WALLET, REFRAIN FROM MAKING ANY ON-CHAIN TRANSACTIONS FOR NOW"
— DEGEN NEWS September 8, 2025

感染したライブラリにはchalk、debug、strip-ansi、color-convertなどが含まれており、これらは合計で10億回以上ダウンロードされており、被害の規模の大きさを示しています。Guillemetによると、悪意のあるコードはトランザクション中に暗号資産ウォレットのアドレスを密かにすり替え、資金を攻撃者が管理するアカウントに送金します。つまり、ユーザーは正当な取引だと信じてトランザクションを完了してしまい、知らぬ間に資産を失うことになります。

影響を受けたツールは決してマイナーなものではありません。ChalkやDebugといったライブラリは多くの分散型アプリケーションや暗号資産プラットフォームを支えており、エコシステムの日常運用に密接に関わっています。これらのライブラリが侵害されたことで、1つの侵害が数百万のウォレットやアプリケーションに急速に影響を及ぼす可能性があることが示されました。

Ledger CTOからの緊急警告

Guillemetは、侵害されたアカウントの開発者名は明かしませんでしたが、脅威が広範囲に及ぶことを明確にしました。「これは大規模なサプライチェーン攻撃です。JavaScriptエコシステム全体が影響を受ける可能性があります」と公式警告で述べています。

彼は、Clear Signingをサポートするセキュアスクリーン付きのハードウェアウォレットの使用が重要であると強調しました。「これに対抗する唯一の確実な方法は、Clear Signingをサポートするセキュアスクリーン付きのハードウェアウォレットを使用することです」と述べ、「これにより、ユーザーは資金が送金されるアドレスを正確に確認し、意図したアドレスと一致しているかどうかを確かめることができます」と続けました。

大規模なサプライチェーン攻撃が進行中です：著名な開発者のNPMアカウントが侵害されました。影響を受けたパッケージはすでに10億回以上ダウンロードされており、JavaScriptエコシステム全体がリスクにさらされている可能性があります。

悪意のあるペイロードは…
— Charles Guillemet September 8, 2025

彼はさらに、「セキュアスクリーンのないハードウェアウォレットやClear Signingをサポートしないウォレットは高リスクであり、トランザクションの詳細が正しいかどうかを正確に検証することが不可能です」と述べました。

最後に、彼は広く注意を呼びかけました。「これはすべての人に思い出してもらう良い機会です：常にトランザクションを確認し、決してブラインドサインをせず、セキュアスクリーン付きのハードウェアウォレットを使用し、すべてをClear Signしてください。」

開発者の対応と広範な影響

この情報公開を受けて、開発者には依存関係の安全なバージョンを固定し、ロックファイルを保護し、さらなる通知があるまでパッケージの自動アップデートを停止するよう促されています。これらの予防措置は、エコシステム全体で監査やクリーンアップが進む間、被害を抑えることを目的としています。暗号資産開発者コミュニティの著名人も、脆弱性が解消されるまで暗号資産関連のウェブサイトとのやり取りを避けるようユーザーに助言しました。

関連：Ripple開発者がKaikoの評価を受けてXRP Ledgerを擁護

この出来事は、Ledgerのような重要なウォレットプロバイダーでさえ、自社の直接管理外のソフトウェアレイヤーに依存していることを示しました。こうしたレイヤーが侵害されると、その影響は壊滅的なものとなり得ます。数百万人のユーザーと数十億ドル規模のデジタル資産が、数時間のうちにリスクにさらされる可能性があります。

NPM攻撃の最新情報

Guillemetの最新のアップデートによると、この攻撃は失敗に終わり、ほとんど被害者はいませんでした。攻撃は偽のnpmサポートドメインからのフィッシングメールで始まり、認証情報が盗まれ、攻撃者が悪意のあるパッケージアップデートを公開できるようになりました。注入されたコードはウェブ上の暗号資産活動を標的とし、Ethereum、Solanaなどのチェーンにフックして、ネットワークレスポンス内でウォレットアドレスを直接置き換えることでトランザクションを乗っ取ろうとしました。しかし、攻撃者のミスによりCI/CDパイプラインがクラッシュし、早期発見につながり、影響は限定的となりました。

Guillemetは、資金がソフトウェアウォレットや取引所にある場合、1回のコード実行で全てを失う可能性があると強調しました。サプライチェーンの侵害は依然として強力なマルウェア配布手段であり、標的型攻撃が増加しています。彼はまた、ハードウェアウォレットはこれらの脅威に耐えるよう設計されていることを強調しました。Clear Signingのような機能により、何が起きているかを正確に確認でき、Transaction Checksは手遅れになる前に不審な活動を警告します。

この記事は「Ledger CTO Warns Wallet Holders After NPM Account Hack」としてCryptotaleに最初に掲載されました。

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック