未確認情報:npm上のInjective SDKパッケージに暗号資産ウォレット窃盗マルウェアが仕込まれたとの噂
検証されていない報道によると、npm上のInjectiveのSoftware Development Kit (SDK) パッケージに、ハッカーがデジタルウォレット窃盗を目的としたマルウェアを仕込んだ可能性がある。
サイバーセキュリティ界隈で未確認の報道が広まっている。それによると、金融業界向けのブロックチェーンプロトコルであるInjective LabsのSoftware Development Kit (SDK) パッケージがハッカーに乗っ取られ、開発者向けの公開コードリポジトリであるnpm (Node Package Manager) 上に、暗号資産ウォレットのPrivate Key (秘密鍵) やMnemonic Seed Phrase (リカバリーフレーズ) 窃取を目的とした悪意のあるバージョンが公開されたという。 しかし、「Than AI」取材班の調査では、情報源として挙げられているBleepingComputerやその他の信頼できる情報源からの該当する報道は確認されていない。そのため、この報道の現状は、未確認の「噂」に過ぎない。 Injective SDKのケースはまだ確認されていないものの、Supply Chain Attack (サプライチェーン攻撃) と呼ばれるこの種の攻撃は、npm上の他のパッケージに対して過去に何度も発生している。例えば、dYdXでは、開発者をだまして暗号資産ウォレット情報窃盗マルウェアが埋め込まれたコードをダウンロードさせるため、偽のパッケージがリポジトリにアップロードされた。 攻撃の手口は、ハッカーが人気オープンソースプロジェクトの管理開発者のアカウントに侵入し、マルウェアを埋め込むためにコードをわずかに修正し、新しいバージョンとして公開することだ。他の開発者がこの最新バージョンのパッケージを使用すると、マルウェアは彼らのプロジェクト内で直ちに活動を開始する。
この種の攻撃は、タイのクリプトプロジェクト開発者およびユーザーにとって直接的な脅威となる。開発者がマルウェア感染コードを使用した場合、ユーザーの資金損失やプロジェクトの信頼性失墜に繋がりかねない。