最近、大規模なサイバー攻撃が暗号通貨の世界を揺るがし、Ledgerの最高技術責任者が重大な懸念を表明しました。9月8日、ハッカーは著名なオープンソースJavaScript開発者のアカウントに侵入し、広く使用されているコードライブラリに悪質なコード、いわゆる「クリプトクリッパー」マルウェアを挿入しました。これらの影響を受けたパッケージ、例えばChalk、Debug、Strip-ansi、Color-convertは、無数のウェブサイトや分散型暗号アプリケーションの基本的なコンポーネントであり、毎週数十億回ダウンロードされています。

このマルウェアは特に危険で、バックグラウンドで動作し、ブラウザの機能を傍受し、トランザクション中に暗号通貨ウォレットのアドレスを静かに変更します。つまり、ウォレットアドレスをコピー＆ペーストすると、悪意のあるコードが攻撃者が制御するアドレスに置き換えることができ、資金があなたの知らないうちに転送されることになります。この脅威は、ウェブブラウザや中央集権的なアプリを介して暗号ウォレットに接続するユーザーにとって特に深刻です。

この脆弱性は、開発者が定期的な更新中に読みにくい難読化されたコードに気づいたことで明らかになりました。多くのプラットフォームはすでに妥協された依存関係を統合しており、知らず知らずのうちに数百万のユーザーを危険にさらしています。一部の影響を受けたパッケージには迅速なパッチが公開されましたが、専門家は、特に依存関係を自動的に更新するプロジェクトにはリスクが残っていると警告しています。

LedgerのCTOは、ハードウェアウォレットを持たないユーザーに対し、状況が完全に解決されるまでオンチェーントランザクションを避けるよう呼びかけています。ハードウェアウォレットは、トランザクションの詳細を安全な物理的スクリーンに表示し、ユーザーが確認する前に受取人アドレスを検証することができるため、最も信頼できる防御手段とされています。ブラウザベースのウォレットやソフトウェアウォレットを使用している人は、トランザクションの詳細を注意深く確認し、疑わしい送金の最近のアクティビティを確認し、非必須のアクティビティを一時停止することを検討してください。開発者にも、最近のコード更新を監査し、悪意のあるコードのさらなる拡散を防ぐために依存関係を既知の安全なバージョンでロックすることが推奨されています。

この攻撃は、暗号エコシステム内のサプライチェーンセキュリティの重要性を強調し、すべてのユーザーに警戒を促す警告となっています。宛先アドレスを再確認し、デジタル資産の最大限の保護のためにハードウェアウォレットソリューションを優先することが求められています。