最も人気のあるJavaScriptライブラリの1つであるAxiosが侵害され、暗号資産ウォレット攻撃に関与している可能性があります。npmパッケージ攻撃はますます一般的になり、プロジェクト、開発者、エンドユーザーを直接攻撃しています。
Axios npmパッケージが公式JavaScriptライブラリに公開され、数時間後に非公開になりました。オンチェーンセキュリティー専門家が攻撃を傍受し、約3時間アクティブでした。
npmパッケージは@jasonsaaymanの認証情報を通じて侵害され、研究者はアカウントが侵害された兆候を探していました。影響を受けたパッケージは[email protected]と[email protected]として特定されました。
Cryptopolitanが以前報告したように、npm攻撃は暗号資産ウォレットを標的にすることが多く、大規模なチーム保有を持つ分散型プロジェクトには特にリスクがあります。
Axios npm攻撃で何が起きたのか?
StepSecurityは、この問題を最初に特定した1つでした。Axios HTTPクライアントライブラリの2つの悪意のあるバージョンが、主要なAxiosメンテナーの侵害された認証情報を通じて公開され、GitHub上の通常の公開パイプラインをバイパスしました。
StepSecurityによると、これは広く使用されているトップ10のnpmパッケージに対する最も高度な攻撃でした。悪意のあるパッケージバージョンは、axiosソースコードにインポートされていない新しい依存関係[email protected]を注入します。この依存関係は、すべてのオペレーティングシステムでアクティブなインストール後スクリプトを実行します。
npmを使用した後、クライアントはリモートアクセストロイの木馬ドロッパーに感染し、ライブサーバーを持ち、ペイロードを配信します。マルウェアは自身を削除し、疑わしい.jsonをクリーンバージョンに置き換えて検出を回避します。
どのタイプのプロジェクトが影響を受けましたか?
npmパッケージは最も人気があり、週間ダウンロード数は最大1億回でした。しかし、現時点では、不正な暗号資産の移動の報告はありません。以前、npm攻撃は無名トークンから1,000ドルの暗号資産損失にしかつながりませんでした。
悪意のあるnpmを制限する唯一の方法は、バージョンを追跡し、自動アップグレードを許可しないか、潜在的な悪意のあるアップロードがないか新しいバージョンをチェックすることです。
研究者はまた、同じ方法でペイロードを配信する2つの追加の悪意のあるパッケージ、@shadanai/openclawと@qqbrowser/openclaw-qbotを発見しました。この攻撃は、LiteLLMの悪意のあるコード注入のわずか1週間後に発生しました。
攻撃期間中、Web3またはOpenClawプロジェクトが影響を受けたり、暗号資産が盗まれたりした報告はありません。しかし、盗まれた認証情報または不正な発行者を通じて、npm攻撃が今や常態化する可能性があるという警告が発せられました。この脅威は、OpenClawスキルプラットフォームを使用した悪意のあるコードに関する以前の警告に続くものです。
パッケージはWeb3またはボットプロジェクトに限定されず、暗号資産ウォレットにリンクされたあらゆるペイロードに影響を与える可能性があります。Python用のnpmおよびpipインストールへの信頼の喪失は、ライブラリエコシステムへの一般的な信頼を損なう可能性もあり、より安全なアップロードパスを求める声が上がっています。
AIエージェントの使用は、無差別なパッケージダウンロードにつながり、脅威を拡散させる可能性もあります。暗号資産ウォレットへの実際の影響は即座ではないかもしれませんが、ウォレットデータを潜在的に露出させます。
あなたの銀行はあなたのお金を使っています。あなたは残りかすを手に入れています。自分自身の銀行になる方法についての無料ビデオをご覧ください
Source: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
