ソラナユーザーが新型フィッシング攻撃に遭遇、悪意のあるNPMパッケージが秘密鍵を盗み資産損失を引き起こす

2025年7月初、ソラナユーザーを対象とした新型フィッシング攻撃事件がセキュリティ専門家の注目を集めました。あるユーザーがGitHub上のオープンソースプロジェクトを使用した後、自分の暗号資産が盗まれたことに気づきました。調査の結果、セキュリティチームは悪意のあるNPMパッケージと複数のGitHubアカウントの協調操作に関与する巧妙に設計された攻撃チェーンを明らかにしました。

イベントの始まりと終わり

被害者は7月1日に「solana-pumpfun-bot」と呼ばれるGitHubプロジェクトを使用し、翌日には資産が盗まれていることに気づきました。セキュリティチームは直ちに調査を開始し、そのプロジェクトにはいくつかの疑わしい点が存在することを発見しました：

1. プロジェクトのStarとForkの数が異常に高いが、コードの更新は3週間前に集中しており、継続的なメンテナンスの特徴が欠けている。
2. プロジェクトの依存関係には、「crypto-layout-utils」という名前の疑わしいサードパーティパッケージが含まれています。
3. この疑わしいパッケージはNPM公式から削除され、指定されたバージョンは公式の履歴にありません。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃手法の分析

詳細な分析により、攻撃者は次の方法を使用していることが明らかになりました。

1. package-lock.json内の疑わしいパッケージのダウンロードリンクを、GitHub上の自作バージョンに置き換えました。
2. このバージョンのコードは高度に難読化されており、解析の難易度が増しています。
3. 解混淆後に発見されたのは、このパッケージがユーザーのコンピュータのファイルをスキャンし、ウォレットまたは秘密鍵に関連する内容を探し、それを攻撃者が制御するサーバーにアップロードすることです。
4. 攻撃者は複数のGitHubアカウントを制御し、悪意のあるプロジェクトをフォークして人気を高め、拡散範囲を広げる可能性があります。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

資金の流れ

チェーン上の分析ツールを通じて追跡したところ、盗まれた資金の一部がある取引プラットフォームに移されていることがわかりました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃の範囲が拡大されました

調査では、複数の関連するフォークプロジェクトにも似た悪意のある行動が存在し、一部のバージョンでは別の悪意のあるパッケージ「bs58-encrypt-utils-1.0.3」を使用していることが分かりました。これは、攻撃者が6月中旬から悪意のあるNPMパッケージやNode.jsプロジェクトを配布し始めたことを示しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

セキュリティ提案

1. 出所不明のGitHubプロジェクトには十分に警戒し、特にウォレットや秘密鍵の操作に関わるプロジェクトに注意してください。
2. このようなプロジェクトをデバッグする必要がある場合は、独立した敏感データのない環境で行うことをお勧めします。
3. 開発者はプロジェクトの依存関係を定期的に確認し、疑わしいサードパーティのパッケージに注意するべきです。
4. ユーザーはハードウェアウォレットなどのより安全なストレージ方法を使用し、秘密鍵を平文でコンピュータに保存しないようにするべきです。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

今回の事件は、分散型のオープンソースの世界において、個人の安全意識と基本的な防護措置がいかに重要であるかを再度思い出させてくれます。攻撃者は常に新しい手法を考案しており、私たちも時代に遅れず、警戒を強め、自分のデジタル資産を守る必要があります。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる