Ledger CTO、大規模なNPMサプライチェーン攻撃について警告; アドレスチェックを呼びかけ

『潜在的にすべてのチェーン』：NPM開発者アカウントがハッキングされた後、Ledger CTOが警戒

LedgerのGuillemet氏は、Xで述べ、著名な開発者のNPMアカウントが侵害され、影響を受けたパッケージが10億回以上ダウンロードされているとし、開発者にとって懸念が高まっていると語りました。

「大規模なサプライチェーン攻撃が進行中で…JavaScriptエコシステム全体がリスクにさらされている可能性があります」と同氏はXで書き、悪意あるコードは「暗号アドレスをオンザフライで静かに交換して資金を盗む」と指摘しました。

ハードウェアウォレットを使用していない人々には、現在オンチェーントランザクションを行わないよう助言し、すべてのユーザーに署名する前にトランザクションの詳細を見直すよう促しました。また、攻撃者がソフトウェアウォレットからシードフレーズを盗んでいるかどうかは不明と述べました。

「Ledgerや他のハードウェアウォレットを使用しているユーザーは明確な署名を行っていればリスクはない」とGuillemet氏は付け加え、明確な署名と手動検証がアドレス交換マルウェアから守ると強調しました。

別のセキュリティアウトレットも、進行中のNPMアカウントの侵害を報告し、多くの使用頻度の高いパッケージに影響を与えていると指摘し、このキャンペーンをこれまでで最大規模の一つとしています。Guillemet氏は影響が「潜在的にすべてのチェーン」に及ぶ可能性があると述べました。