悪意のNPMパッケージによる秘密鍵の窃盗が原因でソラナユーザーの資産が盗まれた事件の分析

2025年7月初、ソラナのユーザーを対象とした資産盗難事件がセキュリティチームの注意を引いた。ある被害者がGitHubにホストされたオープンソースプロジェクトを使用した後、暗号資産が盗まれたことに気付いた。徹底的な調査の結果、セキュリティチームは巧妙に設計された攻撃チェーンを明らかにした。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃者は合法的なオープンソースプロジェクトに装い、ユーザーに悪意のあるコードを含むNode.jsプロジェクトをダウンロードして実行させる。"solana-pumpfun-bot"という名前のこのプロジェクトは、一見人気があり、高いStarとForkの数を持っている。しかし、そのコードの提出履歴は異常なパターンを示しており、継続的な更新の特徴が欠けている。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

さらに分析したところ、プロジェクトは「crypto-layout-utils」という疑わしいサードパーティパッケージに依存していることがわかりました。このパッケージはNPM公式から削除されましたが、攻撃者はpackage-lock.jsonファイルを修正し、ダウンロードリンクを自分が管理するGitHubリポジトリのアドレスに置き換えて、悪意のあるコードを引き続き配布しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この高度に難解なマルウェアパッケージを解析した後、セキュリティチームはその機能がユーザーのコンピュータ上の敏感なファイル、特に暗号ウォレットや秘密鍵に関連するコンテンツをスキャンすることであることを確認しました。ターゲットファイルが見つかると、それが攻撃者が制御するサーバーにアップロードされます。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃者は複数のアカウント協力の戦略を採用し、大量のForkやStar操作を通じてプロジェクトの信頼性を高め、被害範囲を拡大しました。"crypto-layout-utils"に加えて、もう一つの悪意のあるパッケージ"bs58-encrypt-utils"が今回の攻撃に関与していることが発見されました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

オンチェーン分析ツールを使用して盗まれた資金の流れを追跡し、一部の資金がある取引プラットフォームに移動されたことを発見しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この事件は、オープンソースコミュニティが直面しているセキュリティの課題を浮き彫りにしました。攻撃者は、ユーザーがGitHubプロジェクトを信頼していることを利用し、社会工学と技術的手段を組み合わせて、複雑な攻撃を実施しました。開発者とユーザーにとって、暗号資産に関わるプロジェクトを扱う際には、高度な警戒を保つことが極めて重要です。未知のソースからのコードは隔離された環境でテストし、プロジェクトの正当性と信頼性に常に注意を払うことをお勧めします。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

今回の事件は複数の悪意のあるGitHubリポジトリとNPMパッケージに関連しており、安全チームはコミュニティが参考にし、防止するための関連情報をリストアップしました。このような攻撃手法は非常に隠蔽性が高く、欺瞞的であるため、新しいプロジェクトを探求する際は、特に敏感な操作に関しては一層慎重になる必要があることを思い出させます。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる