ソラナユーザーが秘密鍵窃取事件に遭遇：悪意のあるNPMパッケージが攻撃の武器に

2025年7月初、ソラナユーザーを対象とした秘密鍵の盗難事件がセキュリティ専門家の注目を集めました。あるユーザーがGitHubのオープンソースプロジェクトを使用した後、自分の暗号資産が盗まれていることに気付きました。詳しく調査した結果、セキュリティチームは巧妙に設計された攻撃の連鎖を明らかにし、その中には偽装されたオープンソースプロジェクト、悪意のあるNPMパッケージ、そして複数のGitHubアカウントの協調操作が含まれていました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

事件の起因は、solana-pumpfun-botという名前のGitHubプロジェクトです。このプロジェクトは、表面的にはかなり人気があり、高いStarとForkの数を持っています。しかし、注意深く観察すると、プロジェクトのコードのコミット時間が短期間に集中しており、持続的な更新の特徴が欠けていることがわかり、これがセキュリティ専門家の警戒を引き起こしました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

さらに分析したところ、プロジェクトはcrypto-layout-utilsという疑わしいサードパーティパッケージに依存していることがわかりました。このパッケージはNPMの公式から削除されており、指定されたバージョン番号はNPMの履歴に存在しません。攻撃者はpackage-lock.jsonファイルを変更することによって、依存パッケージのダウンロードリンクを彼らが管理するGitHubリポジトリに向けました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この悪意のあるNPMパッケージは高度に難読化されており、解析の難易度が増しています。難読化を解除した後、セキュリティチームはその悪意のある性質を確認しました：このパッケージはユーザーのコンピュータのファイルをスキャンし、ウォレットや秘密鍵に関連する内容を探し、発見された機密情報を攻撃者が制御するサーバーにアップロードします。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

攻撃者の手法は非常に巧妙です。彼らは一連のGitHubアカウントを制御している疑いがあり、悪意のあるプロジェクトをForkして配布するために利用しており、さらにプロジェクトのForkとStarの数を増やすことで、より多くのユーザーを引き付けています。また、セキュリティチームはbs58-encrypt-utilsという別の悪意のあるパッケージを発見し、攻撃活動は2025年6月中旬には始まっていた可能性があると推測しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

オンチェーン分析ツールを通じて、セキュリティチームは一部の盗まれた資金がある取引プラットフォームに流れていることを追跡しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

この事件は、オープンソースコミュニティが直面しているセキュリティの課題を浮き彫りにしています。攻撃者は、合法的なプロジェクトを装い、ソーシャルエンジニアリングと技術的手法を組み合わせることで、ユーザーに悪意のある依存関係を含むコードを実行させることに成功し、秘密鍵の漏洩と資産の損失を引き起こしました。

類似のリスクを防ぐために、開発者とユーザーは出所不明のGitHubプロジェクトに対して高度な警戒を維持することをお勧めします。特に、ウォレットや秘密鍵の操作に関わるプロジェクトについては注意が必要です。デバッグが必要な場合は、独立した敏感データのない環境で行うのが最良です。また、オープンソースコミュニティもプロジェクトのレビューと監視を強化し、ユーザーの安全意識を高めて、より安全な開発エコシステムを共同で維持する必要があります。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる