悪意のNPMパッケージによる秘密鍵の盗難が原因でソラナユーザーの資産が失われた事件の分析

2025年7月2日、あるユーザーがセキュリティチームに助けを求め、暗号資産が盗まれた原因を分析してもらいました。この事件は、そのユーザーが前日にGitHubにホスティングされたオープンソースプロジェクトを使用したことに起因しています。

セキュリティチームはすぐに調査を開始しました。そのプロジェクトのGitHubリポジトリにアクセスしたところ、プロジェクトのStarとForkの数は高いものの、コードのコミット時間が3週間前に集中しており、異常な特徴を示しており、正常なプロジェクトに必要な継続的な更新の軌跡が欠けていました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

Node.jsを基盤としたプロジェクトとして、セキュリティチームはまずその依存パッケージを分析しました。プロジェクトがcrypto-layout-utilsという名前のサードパーティパッケージを参照していることが判明し、そのパッケージはNPM公式から削除されており、package.jsonに指定されたバージョンはNPM公式の履歴には存在しませんでした。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

さらに調査したところ、攻撃者はpackage-lock.jsonファイル内でcrypto-layout-utilsのダウンロードリンクを自分が管理するGitHubリポジトリのアドレスに置き換えていました。この疑わしい依存パッケージをダウンロードして分析したところ、そのコードは高度に難読化されていることがわかりました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

解混淆後確認これは悪意のあるNPMパッケージです。攻撃者はパッケージ内にユーザーのコンピュータファイルをスキャンするロジックを実装しており、一旦ウォレットや秘密鍵に関連する内容を発見すると、攻撃者が制御するサーバーにアップロードされます。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

プロジェクトの作者は、悪意のあるプロジェクトをフォークして配布するために、複数のGitHubアカウントを制御しているようです。同時に、プロジェクトのフォークとスターの数を増やし、より多くのユーザーの注目を引き、悪意のあるプログラムの拡散を広げています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

セキュリティチームは、複数のフォークプロジェクトに類似の悪意のある行動が存在することも発見しました。一部のバージョンは、別の悪意のあるパッケージbs58-encrypt-utils-1.0.3を使用しています。この悪意のあるパッケージは2025年6月12日に作成され、攻撃者はその時から悪意のあるNPMパッケージやNode.jsプロジェクトを配布し始めたと推測されています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

チェーン上の分析ツールを通じて追跡した結果、攻撃者が盗まれた資金をある取引所に移動させたことがわかりました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

今回の攻撃では、攻撃者が正当なオープンソースプロジェクトに偽装し、ユーザーに悪意のあるコードをダウンロードして実行させました。攻撃者はプロジェクトの注目度を artificially 高め、ユーザーが警戒心なく悪意のある依存関係を含むNode.jsプロジェクトを実行させた結果、ウォレットの秘密鍵が漏洩し、資産が盗まれました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

攻撃は複数のGitHubアカウントの協調操作を含み、拡散範囲を広げ、信頼性を高め、非常に強い欺瞞性を持っています。この種の攻撃は、社会工学と技術的手法を組み合わせており、組織内部であっても完全に防御することは難しいです。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

開発者とユーザーは、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対して高い警戒を保つことをお勧めします。デバッグを実行する必要がある場合は、独立した敏感データのない環境で行うことをお勧めします。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる