大規模なサプライチェーン攻撃の後、 Binanceの顧客データや資産は危険にさらされているのか?

取引量で世界最大の暗号通貨取引所 Binance火曜日、JavaScriptエコシステムを襲った史上最大規模のサプライチェーン攻撃の1つにおいて、ユーザーのデータや資産が侵害されていないことを顧客に安心させた。. 

Xに掲載された声明によると、 Binance データベースに被害はなかった 侵入の際に、 と述べた。

「広く使用されている複数のJavaScriptパッケージの悪意のあるバージョンが公開された最近のサプライチェーン攻撃について認識しています」と同社は声明で述べた。「調査の結果、当社は影響を受けておらず、顧客のデータや資産も危険にさらされていないことを確認しました。セキュリティは引き続き最優先事項であり、今回の侵害はサプライチェーンセキュリティの重要性を改めて認識させてくれます。引き続きSAFUを実践してください。」

ソーシャルプラットフォームへのサプライチェーン攻撃について、共同創設者のチャンペン・ジャオ（CZとしても知られる）は、「最近ではオープンソースソフトウェアでさえ安全ではない。Web3はWeb2のセキュリティを再defi。だろう。我々はまだ初期段階にある」と述べた

JavaScriptパッケージへのサプライチェーン攻撃が暗号資産投資家を脅かす

セキュリティ研究者がNPM史上最大規模の攻撃の一つと呼んでいるこの攻撃は、9月8日に発生した。ハッカーらは、「qix」というハンドルネームで知られる、信頼できるオープンソースのメンテナー（ジョシュ・ジュノンとしてもdent）のアカウントを侵害した。. 

攻撃者は、JavaScriptパッケージの中央リポジトリであるnpmjsからの公式通知を装ったフィッシングメールを使ってジュノン氏を騙しました。偽メールに見られるように、犯人はジュノン氏に対し、2要素認証のdent情報を直ちに更新しなければ、2025年9月10日にアカウントがロックされると説得しました。. 

「アカウントセキュリティへの継続的な取り組みの一環として、すべてのユーザーに2要素認証（2FA）のdent情報の更新をお願いしています。記録によると、前回の2FA更新から12ヶ月以上経過しています」とメールには書かれていました。.

Junon氏はX上で、別のメンテナーが彼のNPMアカウントが「バックドア付きのパッケージを投稿していた」ことを明らかにした後、自身もフィッシング詐欺の被害に遭ったことを認めた。これにより、攻撃者は彼のアカウントを乗っ取り、18の人気Node.jsライブラリに悪意のあるアップデートをプッシュすることができた。

パッケージには、chalk、debug、ansi-styles、strip-ansi が含まれており、すべて Web に埋め込まれています。.

悪意のあるコードが暗号取引を標的に

Aikido Securityの分析によると、攻撃者は侵害されたパッケージにコードを挿入し、ブラウザベースのインターセプターとして動作できるようにしました。このコードはindex.jsファイルに埋め込まれ、汚染されたパッケージを使用するあらゆるアプリケーションのネットワークトラフィックとアプリケーションAPIをハイジャックすることができました。.

この悪意のあるスクリプトは、 Bitcoin、 Ethereum、 Solana、 Tron、 Litecoin、 Bitcoin Cashなどの主要なデジタル資産のウォレットアドレスと取引を監視します。検出されると、マルウェアは送信先のウォレットアドレスを攻撃者が管理するアドレスに密かに置き換え、被害者に知られることなく資金をリダイレクトします。.

昨日のの Cryptopolitan 、ハードウェアウォレットメーカーLedgerの最高技術責任者であるCharles Guillemet氏は、悪意のあるコードはすでに10億回以上ダウンロードされたパッケージに拡散されていると語った。記事によると

ブロックチェーン分析会社アーカム・インテリジェンスは月曜日遅く、これまでに盗まれた仮想通貨はわずか159ドル相当であると報告した。盗まれた資金は、レジャーのセキュリティチームが最初に公開した情報でdentされたアドレスにまで tracた。. 

しかし研究者らは、侵害されたパッケージに関連するダウンロードが数十億回に及ぶことを考慮すると、数字が低いからといって潜在的な被害が限定的であるわけではないと考えている。.