- 感染にはENSエコシステムに関連する少なくとも10の主要な暗号パッケージが含まれています。
- 9月初旬の前回のNPM攻撃では、5,000万ドル相当の盗難暗号通貨が発生しました。
- 調査中に25,000以上の影響を受けたリポジトリが発見されました。
新たなNPM感染の波がJavaScriptコミュニティ全体に懸念を引き起こしており、Shai Huludマルウェアが数百のソフトウェアライブラリを巡り続けています。
合気道セキュリティは、400以上のNPMパッケージが侵害されたことを確認しており、そのうち少なくとも10つは暗号エコシステム全体で広く使われているものです。
問題の規模は、特にブロックチェーンツールやアプリケーションを扱う開発者にリスクを評価する直ちのプレッシャーを与えています。
この開示は月曜日に、 合気道セキュリティ がNPMでの異常な行動の調査を受けて、汚染された図書館の詳細なリストを公開した際に行われました。
研究者チャールズ・エリクセンによる別の投稿 でも、Xの感染リストを強調し、事件に関与した主要なENSパッケージに注目を集めました。
これらの感染は、ここ数週間に進行しているアクティブなサプライチェーン攻撃に関連しているようで、JavaScriptインフラ内でのセキュリティインシデントのエスカレートパターンに勢いを与えています。
脅威は従来のNPM攻撃を超えて拡大しています
感染者の急増は、9月初旬の大規模なNPM侵害に続くものです。その以前の事件は、攻撃者が5,000万ドル相当の暗号資産を盗むことで終わり、デジタル資産盗難に直接関連する最大級のサプライチェーン事件の一つとなりました。
Amazon Web Servicesによると 、この攻撃の1週間以内にShai Huludが登場し、プロジェクト全体に自律的に広がり始めました。
最初の9月の事件は暗号資産を直接標的にしましたが、Shai Huludは異なる方法で運営されています。感染したパッケージをダウンロードする環境から認証情報を収集することに焦点を当てています。ウォレット鍵が存在すれば、他の秘密と同様に処理され抽出されます。
この行動の変化は、新たな事件の規模を広げています。
マルウェアは単一の目的に向かうのではなく、開発者のワークフローに統合され依存関係の連鎖を経由して、暗号資産プロジェクトだけでなく非暗号プロジェクトにも誤って感染する可能性を高めています。
ENSパッケージは大きく影響を受けました
最新のレビューで影響を受けた暗号資産パッケージは、イーサリアムネームサービスエコシステムに明確に集中していることを示しています。ENS関連のライブラリが複数あり、多くは毎週数万件のダウンロードが行われており、侵害されたリストに含まれています。
これにはcontent-hash、address-encoder、ensjs、ens-validation、ethereum-ens、ens-contractsが含まれます。
この発見を裏付けるため、Eriksenは侵害されたENSパッケージを詳細に説明した X投稿を公開 しました。その直後、エリクセンによる 2回目のXアップデート で、追加のリポジトリに影響を及ぼす感染拡大についてさらに詳しく伝えました。
各ENSパッケージは、ウォレットインターフェース、ブロックチェーンアプリケーション、人間が読みやすい名前を機械可読形式に変換するツールで使われる機能をサポートしています。
彼らの人気は、その影響が直接の保守者だけでなく、コア業務に依存する下流の開発者にも及ぶ可能性があることを意味します。
また、侵害されたパッケージの中には、別の暗号ライブラリであるcrypto-addr-codecも特定されました。ENSとは無関係ですが、ウォレット関連のプロセスで使用され、週ごとのトラフィックも多いため、その汚染問題はセキュリティレビューの優先課題の一つとなっています。
非暗号ソフトウェア全体への影響拡大
スプレッドはデジタル資産ツールに限られません。また、ワークフロー自動化プラットフォーム Zapier に関連するパッケージを含むいくつかの非暗号ライブラリも影響を受けています。
これらの中には週あたり4万件を大きく超えるダウンロード数があると報告するものもあり、マルウェアがブロックチェーン活動とは無関係なJavaScriptエコシステムの一部に到達していることを示しています。
後の投稿で強調された追加の図書館は、さらに高い分布レベルを示しています。あるパッケージは週あたり約7万回のダウンロードを記録しました。
また別の地域では、週あたり150万台を超えるトラフィックを記録し、初期の報告よりもはるかに広い規模の存在を反映しています。
急速な拡大は他のセキュリティチームの注目を集めています。 Wizの研究者 たちは、約350人のユーザーに関連する2万5千以上の影響を受けたリポジトリを特定したと述べています。
また、調査初期段階では30分ごとに1000の新しいリポジトリが追加されていることにも触れました。
この成長レベルは、依存ネットワークを越えたパッケージの複製がサプライチェーン汚染をいかに急速に加速するかを示しています。
NPMと連携する開発者には、即時のチェック、環境の検証、潜在的な露出のスキャンを行うよう指示されています。
依存チェーンが複数の業界にまたがって相互に連結されているため、暗号業界以外のチームでさえ、知らず知らずのうちに感染したパッケージを統合する可能性があった。
