拡張機能研究所

おすすめのブラウザ拡張機能をマンガ形式で紹介!

2025/09/10 13:00

NPMで大規模ハッキング発覚!2億回以上ダウンロードの人気パッケージが狙われた話

人気のNPMパッケージがフィッシング被害で乗っ取られ、仮想通貨狙いのマルウェアが仕込まれていた事件について、わかりやすく解説します。
引用元:
https://www.reddit.com/r/programming/comments/1nbqt4d/larges...
NPMで大規模ハッキング発覚!2億回以上ダウンロードの人気パッケージが狙われた話

最近、NPM(Node.jsで使うパッケージ管理システム)の超メジャーなパッケージが乗っ取られたってニュースを見かけて、ちょっとびっくりしたんだよね😳

なんと、1時間くらい前に見つかったこの事件、2億回以上もダウンロードされてる人気パッケージがズラッと被害にあったらしい💥

どんなパッケージがヤバかったの?

被害にあったのは、1人の開発者さんが管理してるパッケージたちで、名前だけでもこんな感じ👇

  • chalk(約3億回/週)
  • debug(約3.5億回/週)
  • ansi-styles(約3.7億回/週)
  • ほかにも色々合わせて、合計20億回以上の週ダウンロード数

この数字、もう想像つかないくらいスゴいよね…💭

どうやって乗っ取られたの?

結論から言うと、開発者のNPMアカウントがフィッシング詐欺で奪われちゃったんだよね🤔

つまり、誰かが巧妙に騙してIDやパスを盗んで、それを使って悪いコードをパッケージにこっそり混ぜたってわけ💡

マルウェアは何をするの?

ここが一番ドキッとするところだけど、今回のマルウェアは主に仮想通貨を狙ってるものらしいんだ⚠️

ざっくり言うと、こんな感じで悪さをしてた👇

  1. ブラウザに入り込む
    fetchとかXMLHttpRequest、あと仮想通貨ウォレットのAPIも監視しちゃう🕵️‍♀️

  2. 大事なデータを見張る
    ウォレットのアドレスとか送金データを探して、一覧に入ってる色んな仮想通貨に対応してるんだって😮‍💨

  3. 送る先を書き換える
    振り込むはずの正しいアドレスを、攻撃者のアドレスにすり替えちゃうの💀
    しかも見破られにくいように、似た文字列を使ってごまかしてるんだよね。

  4. 送金前のトランザクションを乗っ取る
    画面上は本物っぽく見えても、実は署名するときに中身が書き換えられてて、資金は全部攻撃者へ行っちゃう😭

  5. こっそり動き続ける
    ウォレットがある場合は疑われないように、UIは変にいじらず静かに裏で動いてる…こわい💭

どうすればいいの?

正直、わたしも全部は理解しきれないけど、パッケージの信頼性って、こういう事件で一瞬にして崩れるんだなぁって思ったよ🥺

開発者さんたちはアカウントのセキュリティをもっと強化する必要があるし、私たちユーザーもアップデート情報やセキュリティニュースをちょくちょくチェックするのが大事そう

もし興味あったら、こちらのブログで最新情報も追えるからチェックしてみてね👉
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised 💗

ちょっと怖い話だけど、ネットの世界は案外繊細なんだなぁって思ったよ…🌸

ひとことアニメーション表示ON
えっマジで!?めっちゃビックリだよ😳
この記事をシェア
X(旧Twitter)FacebookLINEこのエントリーをはてなブックマークに追加はてなThreadsThreads

コメント

アバター

キンバリー

現代の攻撃で学んだのは、クリプトウォレットがなければ安全ってことだね。

アバター

グレース

元のフィッシングメールは support@npmjs[.]help から来てたよ。

アバター

クリス

このメールからのフィッシングは今後も増えそうで、先月の support@npnjs[.]com の件と似てるね。

アバター

クロエ

編集:パッケージは削除されたけど、まだ壊れたパッケージが残ってるよ。 実際のコードを見ると面白い。

アバター

ジャック

うわ…数か月前にあったサプライチェーン攻撃を思い出す、ターミナルの読み込みが少し遅くなったのを見つけた人がいたんだ。

アバター

ジョージ

これまでで最大のNPM侵害事件だね。

アバター

ロバート

メンテナーの反応が良くて安心したよ、誰にでもミスはあるからね。

アバター

サラ

やられました、ごめんなさい、本当に恥ずかしいです。

アバター

ミア

影響があった主なパッケージはこれらです、かなり広範囲ですね。

アバター

ノーラン

これは狙われた感じが強い攻撃だと思う。

アバター

チャーリー

更新できる限り情報をアップしていきます。

アバター

ワット

Chalkは復旧済みだけど、他はまだ問題あり。 NPMからの返事はまだで、アカウントもロックされてて待つしかない状況。

アバター

ベン

メールは support@npmjs.help からで、一見本物に見えた。 焦ってリンクをクリックしてしまったのが失敗だった。

アバター

ロバート

影響はNPMだけで、詳しい情報はリンク先に随時アップします。 ごめんなさい。

アバター

ハンナ

これが使われたフィッシングメールで、たくさんのメンテナーに送られている。 今後も被害が増えそうだ。

アバター

ジャック

お気に入りのパッケージ『is-odd』は安全なの?

アバター

エイダン

でも、知らないうちに10,000ものマイクロパッケージに依存してるのが良いと思ってたんだけどね。

アバター

レオ

また「メールの怪しいリンクは絶対クリックしないで、必ずサイトに直接アクセスしよう」って教訓だね。

アバター

クリス

この攻撃はNPMの仕組みの問題じゃなくて、人気パッケージのメンテナーが詐欺の2FAメールでやられたのが原因。

アバター

ハンナ

微妙なマイクロパッケージ文化がこういう攻撃を助長してる気がする。

アバター

リリー

クリプトウォレットを監視して、自分のウォレットアドレスに書き換えるって本当? そんな簡単に盗めるの? これじゃ仮想通貨が代替手段になると思えないよ。

アバター

エイダン

HTMXがこれを直すよ。

アバター

クリス

違うメンテナーの別パッケージも乗っ取られてるのが見つかった。 規模は小さいけど、多数のメンテナーが狙われてる証拠だね。

関連記事
ゲームのぼかし効果ってどうやってる?知るとちょっと楽しい映像テクニック🎮✨
ゲームのぼかし効果ってどうやってる?知るとちょっと楽しい映像テクニック🎮✨
2025/09/09 20:00
DockerからPodmanに乗り換えたら、意外とラクだった話
DockerからPodmanに乗り換えたら、意外とラクだった話
2025/09/09 10:00
マイクロソフトの最初のプログラミング言語がオープンソースになったって知ってた?
マイクロソフトの最初のプログラミング言語がオープンソースになったって知ってた?
2025/09/09 08:00
たった10分でわかる!初心者向けPython入門チュートリアル
たった10分でわかる!初心者向けPython入門チュートリアル
2025/09/08 16:00
ソフトウェアエンジニアが「ノー」と言うときに隠れてるコストの話
ソフトウェアエンジニアが「ノー」と言うときに隠れてるコストの話
2025/09/07 22:00
「ノリでコード書いて大丈夫?“Vibecoding”のちょっと怖い話✨」
「ノリでコード書いて大丈夫?“Vibecoding”のちょっと怖い話✨」
2025/09/07 17:00
AIが仕事を奪う?実は「上司のお財布」をムダ遣いしてるだけって話
AIが仕事を奪う?実は「上司のお財布」をムダ遣いしてるだけって話
2025/09/06 12:00