ハッカーが、広く使われているインジェクティブのソフトウェアパッケージを侵害した。これは、暗号資産ウォレットの秘密鍵を盗み出すよう設計されたマルウェアを仕込む「サプライチェーン攻撃」だった。正規のプラットフォームを悪用して悪意あるコードを送り込む攻撃手法が、またひとつ広がった形だ。
セキュリティ企業ソケットは木曜日、インジェクティブ・ブロックチェーン上での開発に使われる人気のnpm、つまりノード・パッケージ・マネージャーのパッケージが、ウォレットの秘密鍵やシードフレーズを盗むよう悪意をもって改ざんされていたと発見した。このパッケージは週間約5万回ダウンロードされていた。
ソケットの研究者らは、このダウンロード数の多さを踏まえ、「インジェクティブのウォレット処理を扱う開発者やアプリケーションにとって重大なインシデントだ」と指摘した。なお、問題の悪意あるコードはすでに削除されている。
今回のようなソフトウェア・サプライチェーン攻撃は、比較的新しい攻撃ベクトルだ。ハッカーはブロックチェーンの暗号技術やスマートコントラクトを直接狙うのではない。ウォレット、取引所、アプリを作るために開発者が信頼して使っているツールを侵害するのである。
インジェクティブは、ディーファイアプリケーション向けに設計された相互運用可能なレイヤー1ブロックチェーンだ。ただ、その利用は過去2年で落ち込んでいる。デフィラマによると、TVL、つまり預かり資産総額は2024年半ばのピーク時に7100万ドル、約115億円あったが、現在は820万ドル、約13億3000万円まで減少している。下落率は88%に達する。
秘密鍵とシードフレーズをこっそりコピー
問題となったのは、npmパッケージ「@injectivelabs/sdk-ts」のバージョン1.20.21だ。侵害された開発者のギットハブアカウントを通じて改ざんされ、6月8日から不審なコミットが始まっていた。
さらに、このバージョンはインジェクティブ・ラボのnpmスコープ内にある別の17パッケージにも固定されていた。ソケットは、これにより「SDK、つまりソフトウェア開発キットを直接インストールしていなかった利用者にも影響が及んだ可能性がある」と説明している。
ソケットによれば、この悪意あるリリースはウォレットの鍵生成機能に入り込み、秘密鍵やニーモニック、つまりシードフレーズを記録し、それを偽のテレメトリー機能を通じて外部に送信していた。
仕組みは悪質だ。マルウェアは、ウォレットの鍵を生成する通常の関数にフックする。開発者のアプリがその関数を使うたびに、シードフレーズや秘密鍵をこっそりコピーする。そして、盗み取ったデータをエンコードしたうえで、正規のインジェクティブ・ネットワークのサーバーに見えるウェブアドレスへ送信していた。
ソケットは、「影響を受けたパッケージを通過した鍵やニーモニックは、すべて侵害されたものとして扱うべきだ」と警告している。
ソケットによると、アカウントを侵害された開発者はすぐに異変を検知した。しかし、マルウェアはすでに300回以上ダウンロードされており、「このキャンペーン自体はまだ完全には封じ込められていない」という。
インジェクティブCEOのエリック・チェン氏は、「すでに修正済みで、npm上の影響を受けたバージョンもすでに非推奨化されている」と述べた。また、ネットワーク上の資金にリスクはないとも説明している。ソケットは今回の件で実際に資金が盗まれたかどうかについては明らかにしていない。
侵害されたnpmパッケージのダウンロード数は310回だった。
今年もっとも高くついたのは「ウォレット侵害」
セキュリティ・アライアンス、通称SEALは第2四半期の脅威レポートで、攻撃者がギットハブ、npm、グーグルのような正規プラットフォームを悪用し、悪意あるペイロードを送り込むケースが増えていると指摘した。
SEALによれば、あるケースでは、侵害されたシステムが企業自身のギットハブリポジトリに悪意あるコードを直接送り込むために使われていた。つまり、ひとつの侵害が、次の侵害をばらまく“配送網”になってしまうのである。
SEALはさらに、マルウェアそのものも包括的になっていると分析している。ウィンドウズ、マックOS、リナックスを横断して動くペイロードが増え、情報窃取型マルウェア、RAT、つまりリモートアクセス型トロイの木馬、バックドア機能をひとつのパッケージにまとめる攻撃が目立つという。とくにマックOSを狙うキャンペーンも増加している。
同様のサプライチェーン攻撃は、3月にはアクシオスのnpmリリースを襲った。5月には「トラップドア」と呼ばれるマルウェアキャンペーンが見つかり、暗号資産、ディーファイ、AI、セキュリティ分野の開発者が標的になっていた。
ギットハブ自体も5月20日に悪用された。同社は従業員のデバイスが侵害されたことをきっかけに、内部リポジトリへの不正アクセスがあったと報告している。
サーティックが月曜日に公表したレポートによると、2026年上半期にもっとも損失が大きかった攻撃ベクトルはウォレット侵害だった。33件のインシデントで、盗まれた額は4億4400万ドル、約718億円にのぼる。


