サプライチェーン攻撃

慢雾科技首席信息安全官 23pds はセキュリティ警告を発表しました。NPM サプライチェーン攻撃の最新の変種「Shai-Hulud 3」が再び襲来しています。各プロジェクトチームとプラットフォームは注意して防止してください。以前、Trust Wallet API キーの漏洩が Shai-Hulud 2 攻撃の原因である可能性が疑われていました。Shai-Hulud は、NPM エコシステムを対象とした自己伝播型ワーム式サプライチェーン攻撃の一連であり、開発者の資格情報、クラウドキー、および環境シークレットを盗むために使用されます。最新の変種（コミュニティでは Shai-Hulud 3 または新しいストレインと呼ばれています）は、2025 年 12 月 28 日に Aikido Security の研究者 Charlie Eriksen によって発見されました。現在のところ、感染範囲は限られており、テスト段階にある可能性があります。

慢雾テクノロジーの最高情報セキュリティ責任者 23pds がセキュリティ警告を発表しました。NPM サプライチェーン攻撃の最新の変種「Shai-Hulud 3」が再び襲来しています。各プロジェクトとプラットフォームは防御に注意してください。以前、Trust Wallet API キーの漏洩が Shai-Hulud 2 攻撃の原因である可能性が疑われていました。

据 The Hacker News 报道，Qilin 勒索组织通过攻破韩国一家 IT 服务商 GJTec，发起 "Korean Leaks" 供应链攻击，导致 28 家金融企业受害、100 多万文件共计 2 TB 数据被窃。Bitdefender 调查发现该行动与朝鲜背景 APT "Moonstone Sleet" 有关，疑似与俄语系 Qilin 组织合作，目标对韩国金融市场施压。

ChainCatcher のメッセージ、SlowMist の余弦がソーシャルメディアで安全に関する警告を発表し、AI に対する毒物投与の状況が存在すると述べ、ユーザーに対して AI が生成したコードを鵜呑みにしないように特に敏感な操作を行う際には注意するように勧めています。余弦は、成熟した有名なオープンソースコードを優先的に使用することを提案していますが、同時にサプライチェーンの毒物投与リスクにも注意が必要です。もう一つの安全な考え方は、有名なウォレット（ハードウェアウォレットを含む）のオープンソース実装を比較することで、複数の視点から比較検討して安全性を確保することです。

ChainCatcher のメッセージによると、DuckDB の公式 Twitter が発表したところによれば、DuckDB の Node.js および Wasm パッケージが最近の npm サプライチェーン攻撃でマルウェアに感染したとのことです。公式は調査を行い、影響を受けたバージョンを廃止し、新しいバージョンをリリースしました。DuckDB は、npm データに基づいて、影響を受けたパッケージをダウンロードしたユーザーはいないと述べています。チームは安全に関する公告を発表し、事後分析および対応策を詳述しています。

ChainCatcher のメッセージ、SlowMist テクノロジーの最高情報セキュリティ責任者 23 pds が X プラットフォームで発表したところによると、DuckDB NPM アカウントが侵害され、悪意のあるバージョン duckdb、duckdb-wasm などが公開されました。これらのマルウェアは、サプライチェーン攻撃で見られるウォレット窃盗マルウェアと一致しています。リスク防止に注意してください。

ChainCatcher のメッセージによると、CertiK Alert の監視により、開発者 Qix の NPM アカウントがフィッシング攻撃を受け、攻撃者が悪意のあるコードを npm に注入したことが確認されました。Security Alliance によると、攻撃者は約 0.05 ドルの ETH と 20 ドルの Meme コインを得たようです。以前の報道では、Ledger の最高技術責任者 Charles Guillemet が「現在、大規模なサプライチェーン攻撃が発生しています：著名な開発者の NPM アカウントが侵害されました。影響を受けたパッケージのダウンロード数は 10 億回を超えており、これは JavaScript エコシステム全体がリスクにさらされる可能性があることを意味します。悪意のあるコードの動作原理は、バックグラウンドで静かに暗号通貨アドレスを改ざんし、資金を盗むことです。」と述べています。

ChainCatcher のメッセージによると、Ledger の最高技術責任者 Charles Guillemet が投稿したところによれば、現在大規模なサプライチェーン攻撃が発生しています：著名な開発者の NPM アカウントが侵害されました。影響を受けたパッケージのダウンロード数は 10 億回を超えており、これは JavaScript エコシステム全体がリスクにさらされる可能性があることを意味します。悪意のあるコードの動作原理は、バックグラウンドで静かに暗号通貨アドレスを改ざんし、資金を盗むことです。ハードウェアウォレットを使用している場合は、各署名取引を慎重に確認してください。そうすれば安全です。ハードウェアウォレットを使用していない場合は、一時的にオンチェーン取引を避けてください。攻撃者がソフトウェアウォレットのリカバリーフレーズを直接盗んでいるかどうかはまだ不明です。詳細な報告。Ledger やその他のクリア署名をサポートするハードウェアウォレットを使用している場合は、影響を受けません。私の以前のツイートは、クリア署名をサポートしていないハードウェアウォレットを使用しているユーザーにリスクがあることを警告するものでした。署名前に各取引を必ず慎重に確認してください。

ChainCatcher のメッセージによると、取引プラットフォーム BigONE がツイートし、ホットウォレットが不正アクセスを受けたと発表しました。すべてのユーザー資産は安全です。BigONE は今回の事件によるすべての損失を全額負担します。取引と入金機能はすぐに復旧し、出金は安全アップグレードが完了次第再開されます。以前の報道によると、SlowMist がソーシャルメディアで発表し、取引プラットフォーム BigONE がサプライチェーン攻撃を受け、盗まれた金額は 2700 万ドルを超えるとしています。生産ネットワークが侵入され、攻撃者はアカウントおよびリスク管理に関連するサーバーの運用ロジックを変更し、資金の引き出しを実現しました。注目すべきは、秘密鍵は漏洩していないということです。

ChainCatcher のメッセージ、ブロックチェーンセキュリティ機関のSlowMistがツイートしたところによると、BigONE 取引所はサプライチェーン攻撃によってハッカーに利用され、損失額は2700万ドルを超えた。生産ネットワークが侵入され、アカウントおよびリスク管理関連サーバーの運用ロジックが改ざんされ、攻撃者が資金を引き出すことができたが、幸いにも秘密鍵は漏洩しなかった。

ChainCatcher のメッセージによると、SlowMist の余弦は X プラットフォームで、GitHub Actions CI/CD メカニズムを利用して Coinbase に対するサプライチェーン攻撃を行ったと発表しました。幸いにも、攻撃は成功しなかったため、次に暴露されるセキュリティ事件は Coinbase に対するものであったでしょう。GitHub 上のサプライチェーン攻撃の経路は次の通りです：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit -> GitHub Personal Access Token（PAT）やクラウドサービスに関連するキーなどを盗む。余弦は、企業が reviewdog または tj-actions を使用している場合は、自己点検を行うべきだと提案しています。

ChainCatcher のメッセージ、SlowMist の余弦が X に投稿して言った："注意 @solana/web3.js のサプライチェーンの毒性、既知の 1.95.6 および 1.95.7 バージョンにはバックドアコードが存在し、ユーザーの秘密鍵を盗む可能性があります。新しいバージョンにはこのリスクはありません。既知の有名なウォレットではこのリスクは発見されていませんが、実際の攻撃は発生しています。推測では、依存パッケージの更新が比較的迅速なサードパーティの秘密鍵関連ツール（ボットを含む）が感染した可能性があります。なぜなら、毒性のあるバージョンは数時間しか生存せず、すぐに発見されて削除されたからです。このパッケージを使用している場合は、注意して調査してください。"

ChainCatcher のメッセージによると、Slow Mist の創設者である余弦氏は、Lottie Player がサプライチェーン攻撃を受けたと述べています。Ace Drainer によるフィッシンググループが有名な Web3 プロジェクトに依存するフロントエンドスクリプトモジュール Lottie Player に対して攻撃を行いました。幸いにも、早期に発見され、影響はそれほど大きくないと思われます。プロジェクトで Lottie Player モジュールを使用している場合は、悪意のあるコードが導入されていないか確認してください（現在知られている 2.0.4 バージョンおよび最新の 2.0.8 バージョンには悪意のあるコードは含まれていません）。

ChainCatcher のメッセージによると、Scam Sniffer の監視で、Lottie Player が今日の早い時間にサプライチェーン攻撃を受け、1inch や Movement などのプロジェクトに影響を与える可能性があるとのことです。

ChainCatcher のメッセージ、Web3 インフラストラクチャプロバイダーの Ankr が攻撃事件報告を発表し、aBNBc トークンの脆弱性悪用に関する調査結果を公表しました。Ankr は、この攻撃事件が元チームメンバーによる悪意のあるサプライチェーン攻撃に起因し、悪意のあるコードパッケージが挿入されたと述べています。一旦合法的な更新が行われると、このコードパッケージが秘密鍵を破壊する可能性があります。現在、Ankr は法執行機関と協力して、この元チームメンバーを起訴し、法の裁きを受けさせるための措置を講じています。Ankr は、これが任意のプロトコルに影響を与える可能性があると述べており、チームは今後のセキュリティ状況を強化するために内部人事プロセスとセキュリティ対策を支援しています。Ankr は、すべての更新に対してマルチシグ認証とタイムロックを要求すること、内部セキュリティ対策を改善すること、新しい監視および通知システムを実施すること、DeFi プロトコルの使用プロセスを精緻化することなど、セキュリティ状況の改善に取り組んでいます。（出典リンク）