NPMサプライチェーンの侵害により、暗号資金がアドレススワッピング型マルウェアにさらされる可能性があるとLedgerのCTOが警告

• Webウォレットでの悪意あるアドレスすり替えが暗号取引を標的にしています。

• 侵害されたパッケージには、「color-name」や「color-string」など広く利用されているNPMモジュールが含まれます。

• 影響を受けたパッケージは10億回以上ダウンロードされており、クロスチェーンでのリスクが高まっています。

NPMサプライチェーンのエクスプロイト：今すぐ取引への署名を停止し、パッケージを検証しウォレットを保護してください。即時の防御策を学びましょう。

NPMサプライチェーンのエクスプロイトとは？

NPMサプライチェーンのエクスプロイトは、信頼性の高い開発者アカウントが侵害され、JavaScriptパッケージに悪意あるペイロードが注入される攻撃です。このペイロードはWebベースのウォレットやdApps内で暗号通貨アドレスを密かにすり替えることができ、複数チェーンにわたる資金を危険にさらします。

どのようにしてJavaScriptパッケージが侵害されたのか？

セキュリティ研究者や業界専門家によると、NPM上の信頼できる開発者アカウントが侵害され、攻撃者が改ざんされたアップデートを公開できるようになりました。この悪意あるコードは、暗号関連サイトで利用されるブラウザ環境で実行され、取引時に宛先アドレスを変更することができます。

どのパッケージやコンポーネントが影響を受けているのか？

ブロックチェーンセキュリティ企業は、「color-name」や「color-string」などの小規模ユーティリティモジュールを含む、約24の人気NPMパッケージが影響を受けていることを特定しました。NPMはJavaScriptの中心的なパッケージマネージャーであるため、多くのWebサイトやフロントエンドプロジェクトがこれらの依存関係を間接的に利用しています。

パッケージごとの報告されたリスクの概要 パッケージ 報告されたダウンロード数 リスクレベル

color-name	数億回	高
color-string	数億回	高
その他のユーティリティモジュール（合計）	10億回以上	クリティカル

暗号ユーザーは今すぐどのように資金を守れるか？

即時の対応策：Webウォレットでの取引署名を停止し、ブラウザウォレットをdAppsから切断し、未検証のJavaScriptに依存するサイトとのやり取りを避けてください。開発環境でパッケージの整合性を検証し、管理するサイトには厳格なContent Security Policy（CSP）ルールを適用してください。

開発者が取るべき予防策は？

開発者は依存関係のバージョンを固定し、利用可能な場合はパッケージ署名を検証し、サプライチェーンスキャンツールを実行し、最近のパッケージアップデートを監査する必要があります。既知の安全なバージョンに戻し、lockfileから再構築することでリスクを軽減できます。重要なフロントエンドライブラリには再現可能なビルドと独立した検証を利用してください。

よくある質問

日常の暗号ユーザーにとって脅威はどれほど差し迫っているか？

WebベースのウォレットやdAppsとやり取りするユーザーにとって、脅威は即時的です。サイトが改ざんされたモジュールに依存している場合、アドレスすり替えコードが取引フロー中にブラウザで実行される可能性があります。

誰がこの侵害を特定し、何を述べたか？

LedgerのCTOであるCharles Guillemetがこの問題を公に指摘し、アドレスすり替えの仕組みと規模について言及しました。ブロックチェーンセキュリティ企業も影響を受けたモジュールを報告しています。これらの観察は、業界専門家による公開投稿やセキュリティアドバイザリーに基づいています。

重要なポイント

• 取引署名を停止する：パッケージが検証されるまでWebウォレットでの署名を避けてください。
• 依存関係を監査する：開発者はフロントエンドコードで使用するNPMパッケージのバージョン固定・署名・スキャンを徹底してください。
• 防御策を講じる：ウォレットの切断、セッションのクリア、CSPやサプライチェーンスキャンツールの活用を行いましょう。

結論

NPMサプライチェーンのエクスプロイトは、小規模なユーティリティパッケージがアドレスの密かなすり替えを可能にし、暗号ユーザーにシステミックなリスクをもたらすことを示しています。防御的な姿勢を維持し、取引署名の停止、依存関係の監査、検証済みアドバイザリーの遵守を徹底してください。COINOTAGは、さらなる技術的詳細や対策が確認され次第、本レポートを更新します（2025-09-08公開）。