RippleのCTOがXamanを称賛、LedgerのCTOはNPMサプライチェーン攻撃によるXRP資金のリダイレクトの可能性に注意喚起

Bitget App

スマートな取引を実現

Bitget

ニュース

Coinotag2025/09/08 21:24

原文を表示

著者:Marisol Navaro

Xamanウォレットは、NPMエコシステムへのサプライチェーン攻撃で暗号資産ウォレットを標的としたマルウェアが注入された後、迅速に監査を実施し、ユーザーの安全を確認しました。Xamanの素早い対応とコミュニティへの警告により被害が抑えられました。ハードウェア署名がない場合、ユーザーはパッケージの整合性を確認し、リスクのあるオンチェーン操作を一時停止するべきです。

Xamanは即時監査を完了し、ウォレットに侵害がないことを確認しました。
悪意のあるNPMパッケージは、受取人アドレスを密かにすり替えることでブラウザウォレットを標的にしました。
David SchwartzやCharles Guillemetなど業界関係者が警戒を呼びかけました。監査やハードウェア署名がリスクを低減します。

XamanウォレットNPMサプライチェーン攻撃：NPMマルウェアが暗号資産ウォレットを標的にした後、Xamanはアプリを迅速に監査しました。パッケージの検証方法と資金保護の手順を学びましょう。

XamanウォレットNPMサプライチェーン攻撃で何が起きたのか？

XamanウォレットNPMサプライチェーン攻撃は、NPM開発者アカウントが侵害され、悪意のあるコードが広く使用されているJavaScriptパッケージに拡散された事件です。これらの悪意あるパッケージは、ブラウザベースの暗号資産ウォレットを標的にし、受取人アドレスを置き換えたりリダイレクトしたりすることで、未検証のパッケージや署名されていないトランザクションに依存するユーザーを危険にさらしました。

Xamanはサプライチェーンインシデントにどう対応したか？

Xamanチームは即座に内部監査とユーザーへの公開警告を実施しました。調査の結果、Xamanクライアントに侵害の証拠は見つからず、ユーザーに検証手順を案内しました。RippleのCTOであるDavid Schwartzは、Xamanの迅速な対応と透明性のあるコミュニケーションを公に称賛しました。

なぜNPMサプライチェーン攻撃は暗号資産ウォレットを標的にするのか？

攻撃者はパッケージマネージャの信頼モデルを悪用します。信頼されたパッケージの小さな変更が広く配布され、ユーザー環境で実行されるためです。暗号資産ウォレットを標的としたマルウェアは、アドレスのすり替えやクリップボード操作を自動化し、資金を攻撃者のアドレスにリダイレクトします。特に経験の浅いユーザーが影響を受けやすいです。

サプライチェーン侵害後、ユーザーはどのように資金を保護すべきか？

即時の検証と保護手順に従いましょう。明確なハードウェア署名がない場合は不要なオンチェーントランザクションを一時停止し、パッケージのチェックサムを検証し、ソフトウェアを最新に保ちましょう。大きな送金には明示的な署名フローを持つハードウェアウォレットを使用してください。

Rippleの最高技術責任者であるDavid Schwartzは、Xamanの迅速な対応を称賛しました。信頼できる開発者のNPMアカウントが侵害され、複数のJavaScriptパッケージにブラウザウォレットを標的とした悪意のあるコードが含まれていることが判明しました。

このマルウェアは特に人気のある暗号資産ウォレットを標的にし、受取人アドレスを傍受またはすり替えて資金をリダイレクトしました。この手法は、トランザクションの詳細を確認しないユーザーや、署名されていないブラウザのプロンプトに依存するユーザーを狙っています。

COINOTAGの報道によると、LedgerのCTOであるCharles Guillemetは、明確なオンデバイス署名を提供するハードウェアウォレットを持たないユーザーは、エコシステムがパッケージの整合性を確認するまでオンチェーントランザクションを一時的に避けることを推奨しました。

Xamanの監査結果は？

Xamanチームは迅速なセキュリティ監査を実施し、公式Xamanリリースに侵害がなかったことを確認しました。ウォレットチームは推奨される検証手順も公開し、公式チャネルからのみアップデートし、利用可能な場合はパッケージ署名を検証するようユーザーに呼びかけました。

XRPL Labsの共同創設者であるWietse Windは、サプライチェーン攻撃の頻度が増加していることを指摘し、JavaScriptエコシステム全体でより強力なパッケージ署名と依存関係の衛生管理の必要性を強調しました。

開発者とユーザーはどのようにパッケージを検証できるか？

開発者は再現可能なビルド、デジタル署名、ロックファイルを採用すべきです。ユーザーはチェックサムを検証し、署名付きリリースを優先し、未検証のパッケージのインストールを避けましょう。定期的な依存関係監査とサードパーティパッケージの最小利用がリスクを低減します。

よくある質問

Xamanウォレットは実際に侵害されたのか？

Xamanの迅速な監査では、公式ウォレットビルドに侵害の兆候は見つかりませんでした。今回の事件は、開発者アカウントが侵害されて感染したNPMパッケージが原因であり、Xamanのリリースは検証後も安全でした。

今すぐオンチェーントランザクションを停止すべきか？

LedgerのCTOであるCharles Guillemetは、明示的なオンデバイス署名をサポートするハードウェアウォレットを持たないユーザーは、パッケージの整合性が確認されるまでオンチェーントランザクションを一時停止することを推奨しました。高額な送金にはハードウェア署名を優先してください。

サプライチェーン攻撃後にウォレットを保護する方法（ステップバイステップ）

リスクを減らし、クライアントの整合性を検証するための実践的かつ優先度の高い手順に従いましょう。

重要な送金にハードウェア署名がない場合は、オンチェーントランザクションを一時停止する。
ウォレットビルドのチェックサムまたは署名を発行元の公式リリースノートと照合する。
ウォレットは必ず公式チャネルからのみアップデートし、不明な場合は検証済みバイナリから再インストールする。
すべての重要なトランザクションに明示的なオンデバイス署名を持つハードウェアウォレットを使用する。
インストール済みの依存関係を監査し、未使用または信頼できないパッケージを削除する。

主なポイント

即時監査の重要性：Xamanの迅速な監査によりユーザーの被害が限定され、安全性が明確になりました。
サプライチェーンリスクは現実：悪意のあるNPMパッケージは、ウォレットのフローやアドレス欄を密かに標的にできます。
防御策：署名の検証、ハードウェアウォレットの利用、署名付きリリースの優先が暗号資産運用の安全性を高めます。

結論

XamanウォレットNPMサプライチェーン攻撃は、JavaScriptエコシステムにおける依存関係レベルのマルウェア脅威の増大を浮き彫りにしています。Xamanの迅速な監査とコミュニティへの通知により不確実性が軽減され、David SchwartzやCharles Guillemetなどの専門家も警戒を呼びかけました。ユーザーはビルドを検証し、ハードウェア署名を採用し、ウォレットチームの公式ガイダンスに従って資金を保護しましょう。

Published by COINOTAG on 2025-09-08. Last updated 2025-09-08.

In Case You Missed It: Traders Weigh Which Major Asset May Lead Next Move as Bitcoin Remains Indecisive and Sentiment Cools

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック