オープンソースプロジェクトに悪意のあるコードが隠れており、ソラナユーザーの秘密鍵が盗まれた

2025年7月初、一件Solanaユーザーを対象とした悪意のある攻撃事件がセキュリティチームの関心を引きました。あるユーザーがGitHubにホスティングされているオープンソースプロジェクトを使用した後、彼の暗号資産が盗まれたことに気付きました。詳細な調査の結果、セキュリティ専門家はこの事件の経緯を明らかにしました。

事件は「solana-pumpfun-bot」というGitHubプロジェクトに起因しています。このプロジェクトは表面的にはstarとforkの数が多いですが、そのコードのコミット履歴は異常に集中しており、継続的な更新の特徴に欠けています。さらに分析したところ、このプロジェクトは疑わしいサードパーティパッケージ「crypto-layout-utils」に依存していることがわかりました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この疑わしいパッケージはnpm公式から削除されており、その指定バージョンは公式の履歴に見当たりません。package-lock.jsonファイルを調査したところ、研究者たちは攻撃者が巧妙にそのパッケージのダウンロードリンクをGitHubリリースページのアドレスに置き換えていることを発見しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この高度に難読化されたマルウェアパッケージをダウンロードして分析した後、セキュリティチームは、ユーザーのコンピュータファイルをスキャンする悪意のあるコードが含まれていることを確認しました。ウォレットまたは秘密鍵に関連するコンテンツが見つかると、それは攻撃者が制御するサーバーにアップロードされます。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

調査では、攻撃者が複数のGitHubアカウントを制御しており、悪意のあるプログラムを配布し、プロジェクトの信頼性を高めている可能性があることが発見されました。彼らはForkやStar操作を通じて、より多くのユーザーの関心を引き、攻撃範囲を拡大しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

"crypto-layout-utils"に加えて、もう一つの"bs58-encrypt-utils"という悪意のあるパッケージも同様の攻撃に使用されました。これは、攻撃者がnpmからパッケージを削除された後、ダウンロードリンクを置き換える方法で悪意のあるコードを配布し続けていることを示しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

チェーン分析によると、盗まれた資金は特定の中間ウォレットを経由した後、最終的に暗号通貨取引所に流れました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この事件は、オープンソースコミュニティが直面しているセキュリティの課題を浮き彫りにしています。攻撃者は、合法的なプロジェクトに偽装したり、人気を不正に高めたりする手段を使って、ユーザーが悪意のある依存関係を含むコードを実行するように誘導し、秘密鍵の漏洩や資産の損失を引き起こしました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

セキュリティ専門家は、開発者とユーザーに対して、出所不明のGitHubプロジェクトに対して高い警戒を保つように勧めています。特に、ウォレットや秘密鍵の操作に関わる場合は注意が必要です。デバッグが必要な場合は、隔離された環境で行うことが最善であり、敏感なデータの漏洩を避けることができます。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

今回の事件は複数の悪意のあるGitHubリポジトリとnpmパッケージに関わっており、セキュリティチームはコミュニティの参考のために関連情報を整理しました。開発者はサードパーティの依存関係を慎重に使用し、プロジェクトの安全性を定期的に確認し、オープンソースエコシステムの健全な発展を共同で維持するべきです。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる