🚨 セキュリティアラート:ハッカーがインジェクティブのnpmパッケージにバックドアを仕掛け、ウォレットキーを盗もうとしました。
現在、サプライチェーン攻撃が暗号資産(クリプト)開発者スタックを直接狙っています。セキュリティ企業Socketによると、インジェクティブのウォレットのワークフローに紐づいたnpmパッケージに悪意あるコードが注入されたとのことです。これは、開発者や開発したアプリから秘密鍵や認証情報を静かに抜き取るために設計されており、ユーザーがログインする瞬間にキーを流出させる可能性があります。
重要な理由:
• npmパッケージは、ほとんどのWeb3フロントエンドやツールの中核にある
• 1つの侵害された依存関係で、数え切れないユーザーのウォレットが流出し得る
• 今回の事案は、DeFiやオンチェーントレーディングで人気のCosmosベースL1であるインジェクティブに影響
Socketの研究者は、特にインジェクティブのウォレット接続を扱うアプリではリスクが深刻だと警告しました。汚染されたパッケージが、ユーザーがサインインしたタイミングでキーを外部送信する可能性があるためです。
朗報:広範な採用の前に、そのパッケージは検知されました。しかしこれは、「暗号領域での“npm installだけで大丈夫”はもう安全ではない」という厳しい現実を突きつける注意喚起です。チームは依存関係を固定し(バージョン固定)、ロックファイルを監査し、不審なpost-installスクリプトを見つけるためのスキャナーツールを活用すべきです。
オンチェーン上で価値が増すほど、攻撃対象はコードそのものへと移っていきます。警戒を怠らないでください、開発者の皆さん。🔐
#Injective #CryptoSecurity #DeFi #Web3 #npm