npm攻撃が進化：オープンソースの悪意あるパッチが暗号通貨ウォレットを標的に

2025年4月11日9:14

サイバーセキュリティニュース

npm攻撃が進化：オープンソースの悪意あるパッチが暗号通貨ウォレットを標的に - innovaTopia - （イノベトピア）

Last Updated on 2025-04-11 11:07 by admin

セキュリティ研究機関ReversingLabsは、オープンソースリポジトリに悪意のあるパッケージをアップロードし、ローカルにインストールされた正規のソフトウェアに「パッチ」を適用するという新たな攻撃手法を発見した。この手法は従来のパッケージ汚染よりも隠密性が高く、持続性があるとされている。

2025年3月から4月にかけて、npmリポジトリ上で「pdf-to-office」という悪意のあるパッケージが発見された。このパッケージはPDFファイルをMicrosoft Officeドキュメントに変換するツールと偽装していたが、実際には暗号通貨ウォレットソフトウェア「Atomic Wallet」と「Exodus」に感染するマルウェアを含んでいた。

このパッケージは2025年3月24日に最初に公開され、その後3回のアップデートがあった。最新バージョン1.1.2は4月8日にアップロードされ、現在までに334回ダウンロードされている。

感染すると、マルウェアは暗号通貨ウォレットの正規ファイルをトロイの木馬化されたコピーに置き換え、ユーザーが暗号通貨を送金しようとすると、送金先アドレスを攻撃者のウォレットアドレスに置き換える。特に注目すべき点は、このマルウェアがAtomicとExodusの特定のバージョン（Atomic Wallet 2.91.5と2.90.6、Exodus 25.13.3と25.9.2）を標的にしていることだ。

この攻撃の最も危険な点は、悪意のあるパッケージを削除しても、ウォレットソフトウェアは感染したままであることだ。完全に脅威を除去するには、ウォレットソフトウェアを完全にアンインストールして再インストールする必要がある。

同様の手法を用いた別の攻撃も2025年3月に発見されている。「ethers-provider2」と「ethers-providerz」という2つのnpmパッケージが、ローカルにインストールされた正規の「ethers」パッケージにパッチを適用し、リバースシェルを確立するマルウェアを注入していた。ethers-provider2は2025年3月15日に公開され、削除されるまでに約73回ダウンロードされた。

ReversingLabsの研究者Lucija Valentićによると、これらの攻撃は異なる攻撃者によって行われた可能性があるが、同様の手法を用いており、今後も増加する傾向にあるという。

from:Open Source Poisoned Patches Infect Local Software

【編集部解説】

セキュリティの世界では常に新たな脅威が登場しますが、今回ReversingLabsが発見した攻撃手法は、オープンソースソフトウェアのセキュリティに関する重要な転換点を示しています。従来の悪意あるパッケージの配布から、すでにインストールされた正規ソフトウェアを「パッチ」するという、より高度で持続性のある攻撃へと進化しているのです。

この新しい攻撃手法が特に注目すべき理由は、その隠密性と持続性にあります。通常、ユーザーは一度インストールして信頼しているソフトウェアを継続的に監視することはありません。そのため、正規のソフトウェアに対する「パッチ」という形での攻撃は、長期間にわたって検出されない可能性が高いのです。

「pdf-to-office」パッケージの事例では、暗号通貨ウォレットという非常に重要な金融ツールが標的になっています。このマルウェアは特定のバージョンのAtomicとExodusウォレットを狙い撃ちにし、送金先アドレスを攻撃者のものに置き換えるという巧妙な手法を用いています。これは単なるデータ窃取ではなく、直接的な金銭被害につながる攻撃であり、その影響は甚大です。

また、「ethers-provider2」と「ethers-providerz」パッケージの事例では、Ethereumブロックチェーン開発に広く使われている「ethers」ライブラリを標的にしています。これらのパッケージはリバースシェルを確立し、攻撃者にシステムへの遠隔アクセスを許可するという、より広範な攻撃の足がかりを作っています。

特に懸念すべき点は、これらの攻撃が「持続性」を持つことです。悪意あるパッケージを削除しても、すでに感染した正規ソフトウェアは影響を受けたままとなります。完全に脅威を除去するには、影響を受けたソフトウェアを完全にアンインストールして再インストールする必要があります。これは単なる「アンインストール」以上の対応が必要となり、多くのユーザーにとって見過ごしやすいポイントです。

ReversingLabsの2025年ソフトウェアサプライチェーンセキュリティレポートによると、2024年にはnpmやPyPIなどのオープンソースリポジトリでのマルウェア事例は減少したものの、2025年にはその傾向が続いていないようです。これは攻撃者が新たな手法を開発し、セキュリティ対策を迂回する方法を常に模索していることを示しています。

この種の攻撃は、オープンソースエコシステム全体に対する信頼を揺るがす可能性があります。開発者やエンドユーザーは、パッケージの選択においてより慎重になる必要があるでしょう。特に、コミュニティでの評判が低いパッケージや、大きなサイズでバージョン数が少ないパッケージには注意が必要です。

企業やプロジェクトにとっては、サプライチェーンセキュリティの重要性がさらに高まっています。単にコードをスキャンするだけでなく、依存関係の監視や、インストール済みソフトウェアの完全性を定期的に確認するプロセスが必要になってきています。

一般ユーザーにとっては、暗号通貨ウォレットなどの重要なソフトウェアは公式サイトから直接ダウンロードし、不審なユーティリティソフトウェアのインストールには細心の注意を払うことが重要です。また、定期的なセキュリティアップデートの適用も欠かせません。

【用語解説】

オープンソースソフトウェア（OSS）：
ソースコードが公開され、誰でも自由に使用・改変・再配布できるソフトウェア。無料で使えるフリーソフトとは異なり、開発者が協力して改善できる点が特徴である。

npm（Node Package Manager）：
JavaScriptの開発に使用されるパッケージ管理システム。多くの開発者が作成したライブラリやツールを簡単に導入できる。

暗号通貨ウォレット：
仮想通貨を保管・管理するためのソフトウェア。銀行口座に例えられるが、中央管理者がいない点が異なる。

マルウェア：
悪意のあるソフトウェアの総称。コンピュータやスマートフォンに害を与えたり、個人情報を盗んだりする。

リバースシェル：
攻撃者のコンピュータと被害者のコンピュータの間に確立される接続で、被害者のコンピュータから攻撃者のコンピュータへコマンドを送信できるようにするもの。通常のシェル接続とは「逆方向」に接続が確立されるため、この名前がついている。

【参考リンク】

ReversingLabs（外部）
ソフトウェアサプライチェーンセキュリティに特化した企業。今回の脅威を発見した。

Atomic Wallet（外部）
複数の仮想通貨を管理できる分散型ウォレット。今回の攻撃の標的となった。

Exodus（外部）
Atomic Walletと同様の多機能仮想通貨ウォレット。こちらも攻撃対象となった。

npm（外部）
JavaScriptのパッケージ管理システム。攻撃者が悪意のあるパッケージを公開した場所。

Ethers.js（外部）Ethereumブロックチェーンと対話するためのJavaScriptライブラリ。攻撃の標的となった。

【参考動画】

【編集部後記】

みなさんは普段、どのようにしてソフトウェアをダウンロードしていますか？公式サイトから入手していても、その中に使われているオープンソースコンポーネントが攻撃の入り口になる可能性があります。特に暗号資産をお持ちの方は、ウォレットソフトウェアの挙動に違和感を感じたことはありませんか？セキュリティは「誰かがやってくれる」ものではなく、私たち一人ひとりの意識が重要です。ぜひSNSで、あなたのセキュリティ対策について教えてください。