サイバーニュース.jp

世界のサイバーなニュースを配信

dYdXのnpmおよびPyPIパッケージが侵害され、ウォレット窃盗マルウェアとRATが配布される

カテゴリ:

サプライチェーン攻撃の新たな手口:dYdX関連パッケージが標的に

サイバーセキュリティ研究者らは、npmおよびPython Package Index (PyPI) 上の正規パッケージが侵害され、悪意のあるバージョンが配布される新たなサプライチェーン攻撃を発見しました。この攻撃は、仮想通貨ウォレットの認証情報窃盗やリモートコード実行(RAT)マルウェアの展開を目的としています。

侵害されたパッケージは以下の通りです。

  • npm: @dydxprotocol/v4-client-js (バージョン 3.4.1, 1.22.1, 1.15.2, 1.0.31)
  • PyPI: dydx-v4-client (バージョン 1.1.5post1)

Socketセキュリティ研究者のKush Pandya氏は、「これらのパッケージは、トランザクション署名、注文、ウォレット管理など、dYdX v4プロトコルと対話するためのツールを開発者に提供します。これらのパッケージを使用するアプリケーションは、機密性の高い仮想通貨操作を扱います」と指摘しています。

攻撃の詳細:異なるエコシステムへの巧妙なアプローチ

今回の攻撃は、開発者アカウントの侵害によって悪意のあるバージョンが公開されたものと推測されています。脅威アクターは、JavaScriptとPythonのエコシステムで異なるペイロードを展開しています。

  • npm版: 仮想通貨ウォレットからシードフレーズやデバイス情報を盗み出すウォレット窃盗犯として機能します。
  • Python版: ウォレット窃盗機能に加え、リモートアクセス型トロイの木馬(RAT)も組み込まれています。このRATコンポーネントは、パッケージのインポート直後に外部サーバー(dydx.priceoracle[.]site/py)に接続し、ホスト上で実行するコマンドを取得します。

Pandya氏によると、脅威アクターはパッケージの内部構造に精通しており、registry.tsregistry.jsaccount.pyといった主要なレジストリファイルに悪意のあるコードを挿入していました。PyPI版に見られる100回の難読化処理や、クロスエコシステムにわたる連携された展開は、レジストリ自体の技術的脆弱性を悪用したのではなく、発行インフラへの直接アクセスがあったことを示唆しています。

dYdXの対応と繰り返される脅威

2026年1月28日の責任ある開示後、dYdXはX(旧Twitter)上で事態を認め、侵害されたバージョンをダウンロードした可能性のあるユーザーに対し、影響を受けたマシンを隔離し、クリーンなシステムから新しいウォレットに資金を移動し、すべてのAPIキーと認証情報をローテーションするよう呼びかけました。また、GitHubでホストされているdydx-v4-clientsのバージョンにはマルウェアが含まれていないことを明確にしています。

dYdXのエコシステムがサプライチェーン攻撃の標的となるのは今回が初めてではありません。2022年9月には、dYdXスタッフのnpmアカウントが乗っ取られ、認証情報などを盗むコードを含むnpmパッケージの新しいバージョンが公開されました。また2024年には、旧dYdX v3プラットフォームのウェブサイトが侵害され、ユーザーをフィッシングサイトにリダイレクトしてウォレットを枯渇させる事案も発生しています。

「存在しないパッケージ」がもたらすサプライチェーンリスク

今回の開示と並行して、Aikidoは、READMEファイルやスクリプトで参照されているものの、実際には公開されていないnpmパッケージが、魅力的なサプライチェーン攻撃のベクトルになり得ると詳細を報告しました。脅威アクターは、これらの名前でパッケージを公開し、マルウェアを配布することが可能です。

Aikidoの分析によると、2025年7月から2026年1月の間に、128の「ファントムパッケージ」が合計121,539回ダウンロードされ、週平均3,903ダウンロードを記録しています。最もダウンロードされたパッケージには、openapi-generator-cli(48,356ダウンロード)、cucumber-js(32,110ダウンロード)、depcruise(15,637ダウンロード)などがあります。

npmのタイポスクワッティング保護は、既存のパッケージ名に似た名前の登録は阻止しますが、元々登録されていない名前でパッケージが作成されることは防げないという盲点が存在します。

開発者向けの対策と推奨事項

npxコマンド利用時の混乱によるリスクを軽減するため、Aikidoは以下のステップを推奨しています。

  • npx --no-installを使用する: レジストリへのフォールバックをブロックし、パッケージがローカルで見つからない場合にインストールを失敗させます。
  • CLIツールを明示的にインストールする: 不明なパッケージの実行を避けます。
  • ドキュメントがパッケージの実行を促す場合: パッケージが実際に存在するかどうかを確認します。
  • 明白なエイリアスやスペルミスを登録する: 悪意のあるアクターがそれらを悪用するのを防ぎます。

「npmエコシステムには何百万ものパッケージがあります。開発者は毎日何千回もnpxコマンドを実行しています。しかし、『便利なデフォルト』と『任意のコード実行』の間には、未登録のパッケージ名というギャップが存在します」と、セキュリティ研究者のCharlie Eriksen氏は述べています。ソフトウェアサプライチェーンに対する脅威の高度化は続き、オープンソースリポジトリの信頼を悪用することで、一度に多数のユーザーを侵害する手法が横行しています。

元記事: https://thehackernews.com/2026/02/compromised-dydx-npm-and-pypi-packages.html

投稿をさらに読み込む