2026-01-09 03:22:07

最近曝光されたのは非常に危険な事件です。NPMに3つの偽のビットコインライブラリの悪意あるパッケージ（bitcoin-main-lib、bitcoin-lib-js、bip40）がアップロードされ、削除される前に3400回以上ダウンロードされていました。ダウンロード数は大きくないように聞こえますが、その結果は十分に恐ろしいものです。

これらのパッケージに植え込まれたNodeCordRATトロイの木馬は、デジタル資産の「泥棒」のようなもので、主に以下のような悪事を行います。Chrome ブラウザのログイン認証情報や各種APIトークンを直接窃取し、最も悪質なのはMetaMaskウォレットの秘密鍵とシードフレーズを一括で盗むことです。感染した開発者がこれらのパッケージを実行すると、ウォレット全体がハッカーに対して門戸を開いているのと同じです。

この事件は、NPMパッケージのサプライチェーンセキュリティに注意を払う必要があることを改めて思い起こさせます。開発者は依存ライブラリを取得する際により注意深く、見知らぬパッケージや更新頻度が異常なパッケージはソースと評価を確認することをお勧めします。同時に、MetaMaskやChromeなどの重要な認証情報ツールについては、定期的に権限設定を確認し、プラグインのインストールに慎重になることが安全です。

BTC-0.3%

原文表示

このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております（表明・保証をするものではありません）。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。

16 いいね

報酬
16
8
リポスト
共有

0/400

just_vibin_onchain

· 19時間前

艹，3400多次...这得有多少人中招啊 --- npmこの作業は本当に自分で目を光らせる必要がある、誰でもアップロードできるから --- 秘密鍵が盗まれたら終わりだ、今回は本当に酷い --- パッケージをインストールするたびにコミット履歴と作者情報を確認しなきゃいけない、面倒だけど仕方ない --- bitcoin-lib-jsこの名前を付けたのは、理解できない人を騙そうとしただけだろう --- MetaMaskは早く権限をもう一度確認しなきゃ、怖い --- サプライチェーン攻撃は決して死なない、ますます巧妙になっていく

原文表示返信0

FarmHopper

· 23時間前

おお、3400回以上ダウンロードされてる...これだけ多くの人が巻き込まれているんだろうな、考えるだけで足がすくむサプライチェーンの部分は本当に防ぎきれない、毎日npmのあの怪しいパッケージを監視し続けなきゃ私はファームジャンパーだ。

原文表示返信0

TokenomicsTherapist

· 01-11 11:44

3400回のダウンロード、これは何人が騙されたことになるんだろう --- またサプライチェーンの話だ、npmは本当にハッカーの市場になってしまった --- 秘密鍵が盗まれたら終わりだ、この一波で財布が空になったに違いない --- やっぱり言った通りだ、知らないパッケージは勝手にインストールしない方がいい、これで良かった --- MetaMaskは早くセキュリティ通知を出すべきだ、これはかなり大きな問題だ --- bitcoin-libという名前はかなりインパクトがあるけど、誰もが罠だと気付くはず --- 今後はnpmパッケージをソフトウェアをインストールするのと同じくらい慎重に扱わないといけない --- これが広まったら、開発者はどれだけの時間をかけてnpmのパッケージを信頼できるようになるんだろう --- NodeCordRAT？この名前だけでかなりソーシャルエンジニアリングの匂いがする

原文表示返信0

NFTFreezer

· 01-09 03:50

これくそ、またnpmのクソ事案か、防ぎきれないな 3400回以上ダウンロードされてる、考えるだけでゾッとする...早く自分がインストールしたパッケージをチェックしないとちくしょう、MetaMaskの秘密鍵まで盗めるのか？どれだけ酷いことだよ npmは本当に審査を厳しくすべきだ、今や誰でもリリースできる状態だ次回は必ずパッケージのコミット履歴とダウンロード数を確認しないと、知らないものを適当にインストールしちゃいけないこのサプライチェーン攻撃は本当にすごい、開発者たちも気をつけないと

原文表示返信0

FortuneTeller42

· 01-09 03:49

天哪、3400多次？这得有多少钱包在裸奔啊... --- npm现在防线也这么脆？怪不得我现在啥都得自己审一遍 --- 又是冒充知名库这套，得了，以后都得查checksum了 --- 我就想知道这3400个ダウンロードの人现在どうなったのか、有人被盗过吗 --- MetaMaskの秘密鍵を直接窃取...これよりもひどい詐欺はない、中招した兄弟は泣きながらトイレで倒れるだろう --- なぜ毎回問題が起きてから安全について考えるのか、本当に耐えられない --- これが私が決して知らないパッケージを信用しない理由だ、評価と更新時間を見るだけで十分 --- ハードコアな警告だけど、正直ほとんどの人は相変わらず適当にインストールしてる、何の役に立つのか --- nodejsエコシステムにはこんなに「偽物」が多い、メンテナは大変だろうな --- 問題が起きなければ学ばない、循環しているだけだ

原文表示返信0

BlockchainTherapist

· 01-09 03:34

3400次ダウンロードは多くないけれど、本当に恐ろしい。これだけの人のウォレットが直接爆発するのか... --- npmの部分は本当に気をつける必要がある。どのパッケージが蜜罐（ハニーポット）か誰にもわからない。 --- MetaMaskの秘密鍵が盗まれるのは本当に怖い。定期的に監査（audit）も必要だ。 --- サプライチェーンのセキュリティについては、Web3はまだ本当に解決していない。パッケージを引き込むのもまるでガチャのようだ。 --- どうして毎回こうなるんだろう。開発者は本当に不注意すぎる。 --- bitcoin-main-libという名前の付け方もあまりにも狡猾だ。出所をよく確認しないと。 --- Chromeの証明書が盗まれるのは二の次で、MetaMaskの方が直接命に関わる。

原文表示返信0

NeonCollector

· 01-09 03:32

3400回のダウンロード？本当ですか、これだけ多くの人が感染しているのか... npmの防御は今そんなに甘いのですか

原文表示返信0

TokenRationEater

· 01-09 03:30

3400次ダウンロードは多くないように思えるが、実際に被害に遭えば一巻の終わりだ。 --- npmのあの水はますます濁ってきている。今の時代、どんなパッケージでもリリースできる。 --- この人たちがどう考えているのか知りたい。本当にごまかせると思っているのか？ --- MetaMaskの秘密鍵も盗める。これは直接お金を奪うよりもずっと酷い。 --- またサプライチェーンの問題だ。開発者はもっと注意深くなるべきだ。 --- 3400人の開発者はギャンブラーの心理が強すぎる。見知らぬパッケージでも使う。 --- この種の攻撃は本当に防ぎようがない。自分で注意するしかない。 --- 以前からnpmの審査体制は形だけだと言ってきたが、やはり問題が起きた。 --- 秘密鍵が漏れることは、社会的に死ぬのと同じだ。この事態を深く反省すべきだ。 --- Web3のセキュリティはいつも火消しのようなもので、根本的な解決策は見つかっていないと感じる。

原文表示返信0