投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
70.88K 人気度
26.5K 人気度
59.8K 人気度
97.45K 人気度
31.51K 人気度
- 人気の Gate Funもっと見る
- 時価総額:$3.43K保有者数:10.00%
- 時価総額:$3.45K保有者数:10.00%
- 時価総額:$3.5K保有者数:20.04%
- 時価総額:$3.47K保有者数:20.09%
- 時価総額:$3.44K保有者数:10.00%
- ピン
巨大なワームスタイル攻撃がNPMを襲い、暗号資産ウォレットの認証情報が危険にさらされる
「Shai-Hulud」として知られる迅速に広がるサプライチェーン攻撃が、数百のnpmパッケージに感染し、GitHubトークン、クラウドキー、暗号ウォレットデータなどの機密開発者資格情報を露呈させています。このキャンペーンは2025年9月中旬に始まり、ワームがメンテナーアカウントや広く使用されているJavaScriptライブラリを移動するにつれて急速にエスカレートしています。
シャイ・フルードワームの広がり方
セキュリティ機関は、攻撃者が最初にメンテナーアカウントを侵害し、しばしばフィッシングを通じて、その後、正当なパッケージの改変されたバージョンをアップロードすることを報告しています。開発者がこれらのバージョンのいずれかをインストールすると、bundle.jsという悪意のあるスクリプトがmacOSまたはLinuxシステムで実行されます。
ワームは、オープンソースツールTruffleHogを使用して、マシンやCIパイプラインの秘密をスキャンします。次のようなアイテムを検索します:
有効なnpmトークンが見つかると、同じメンテナーが所有する追加のパッケージを即座に更新し再公開します。この動作により、マルウェアはエコシステム全体に迅速に複製されることが可能になります。
###永続性とデータ露出
研究者たちは、ワームが被害者のリポジトリ内でGitHub Actionsワークフローを作成することでアクティブであり続けようとすることを発見しました。また、盗まれた認証情報やプライベートリポジトリのデータをShai-Huludとラベル付けされた新しいパブリックGitHubリポジトリにアップロードします。一部の侵害されたライブラリは、毎週数十億回のダウンロードを受けており、露出の範囲について深刻な懸念を引き起こしています。
Ethereumネームサービスや人気のweb3ライブラリの直接感染を示す確認されたケースはないものの、リスクは依然として高い。npmやPyPIでの以前の攻撃は、特に暗号ツールを標的にしているため、ウォレット、スマートコントラクト、またはweb3アプリに取り組んでいる開発者は注意を怠らないべきである。
クリプトプロジェクトが直面する高まるリスク
開発者は、CI/CDシステム、コンテナ、プロダクション環境内でnpmパッケージに依存することがよくあります。したがって、単一の侵害された依存関係が全体のブロックチェーンワークフローに影響を及ぼす可能性があります。攻撃者は、ウォレット操作を傍受したり、シードフレーズをキャプチャしたり、スマートコントラクト管理に関連するデプロイメントシークレットを読み取ったりすることができます。
開発者が今やるべきこと
専門家はチームに直ちに行動するよう促しています:
シャイ・フルード事件は、オープンソースのセキュリティにおける大きな変化を浮き彫りにしています。自律的なサプライチェーンワームはもはや理論上のものではありません。エコシステムは、より厳格な依存関係の確認、より良いツール、およびメンテイナーに対するより厳しい権限を必要としています。