はじめに
仮想通貨ウォレット大手のTrust Walletは、約850万ドル相当の仮想通貨が2,500以上のウォレットから盗まれた事件について、昨年11月に発生した「Shai-Hulud」NPM攻撃との関連性を指摘しました。この攻撃は、広範なサプライチェーン攻撃の一部である可能性が高いとされています。
Trust Wallet事件の詳細
昨年12月24日に報告されたこの事件では、Trust WalletのChrome拡張機能のバージョン2.68.0に悪意のあるJavaScriptファイルが追加され、ユーザーのウォレットデータが盗まれ、不正な取引が行われました。
Trust Walletによると、攻撃者は同社のGitHub開発者シークレットを悪用し、ブラウザ拡張機能のソースコードとChromeウェブストア(CWS)のAPIキーにアクセスしました。これにより、CWS APIへのフルアクセスを得た攻撃者は、正規の承認プロセスを迂回して、悪意のあるバージョンを直接アップロードすることが可能となりました。
さらに攻撃者は、「metrics-trustwallet.com」および「api.metrics-trustwallet.com」という悪性ドメインを登録し、トロイの木馬化された拡張機能から参照されるマルウェアをホストしていました。
Trust Walletの対応
事件を受けて、Trust Walletは全てのリリースAPIを取り消し、悪性ドメインをNiceNICレジストラに報告し停止させました。また、被害を受けたユーザーへの払い戻しを開始するとともに、偽のサポートアカウントや詐欺的な補償フォーム、Telegram広告を通じた詐欺に対してユーザーに警告を発しています。
Shai-Huludマルウェアキャンペーンの背景
Trust Walletの事件に関連付けられている「Shai-Hulud」(別名Shai-Hulud 2.0)は、200万以上のパッケージが登録されているnpmソフトウェアレジストリを標的としたサプライチェーン攻撃です。
- Shai-Hulud 1.0(9月初旬): 180以上のnpmパッケージが侵害され、TruffleHogツールを使用して開発者のシークレットやAPIキーが盗まれました。
- Shai-Hulud 2.0: 800以上のパッケージに影響が及び、27,000以上の悪意のあるパッケージがnpmリポジトリに追加されました。これにより、開発者およびCI/CDシークレットが収集され、GitHubに公開されました。
このキャンペーン全体で、約40万件の生シークレットが露出し、3万以上のGitHubリポジトリで盗まれたデータが公開されました。昨年12月1日の時点で、流出したNPMトークンの60%以上が依然として有効であったと報告されています。
Wizのセキュリティ研究者は、「攻撃者はnpmエコシステムとGitHubを利用した認証情報収集作戦を完璧なものにしている」と警告し、同様の手口による攻撃が継続する可能性を予測しています。
今後の影響と対策
今回のTrust Walletの事件は、npmサプライチェーン攻撃の深刻さと、開発者シークレットおよびAPIキーの保護の重要性を改めて浮き彫りにしました。企業は、コードレビューの強化、CI/CDパイプラインのセキュリティ対策、そして多要素認証の導入など、より厳格なセキュリティプロトコルを導入し、継続的に監視する必要があるでしょう。