合計で毎週20億以上ダウンロード、「debug」「Chalk」など18の人気npmパッケージにマルウェア混入：メンテナーを狙ったフィッシングメールがサプライチェーン攻撃の引き金に

　攻撃者は、npmのサポートをかたるメールアドレス「support[at]npmjs[dot]help」を通じて「二要素認証のリセットが必要」というメールをメンテナーに送信。このメールに書かれた指示に従ったことで、メンテナーのアカウントが侵害。攻撃者はメンテナーのアカウント権限を悪用して、悪意のあるコードを埋め込んだバージョンのパッケージを公開したとみられる。

メンテナーに送信されたフィッシングメールのスクリーンショット（提供：Aikido Security）

　Aikido Securityは「埋め込まれたコードは難読化されていた。コードは、ブラウザ上の暗号資産ウォレットを標的とし、ブラウザ上の取引情報を傍受して暗号資産を窃取するものだった」と分析。他のメンテナーが公開しているパッケージ「proto-tinker-wc＠0.1.87」にも、同じ攻撃者グループによるものと思われる悪意のあるコードが埋め込まれていたとし、「他のメンテナーも標的になっている」と、警戒を呼び掛けている。

　今回の攻撃は、正規のプロジェクトメンテナーのアカウントを乗っ取り、組織や開発者が信頼するオープンソースの人気パッケージに悪意のあるコードを埋め込むという手口であり、依存関係を持つ多数のアプリケーション、そしてエンドユーザーにまで影響が広がる可能性があるという、ソフトウェアサプライチェーンやOSS（オープンソースソフトウェア）のリスクをあらためて浮き彫りにしたものだ。

　企業は、開発者だけでなく従業員へのセキュリティ教育を継続的に実施するとともに、npmのようなオープンソースのライブラリやパッケージを業務で利用する場合には、依存関係を可視化し、リスクのあるライブラリを早期に特定できる仕組みを導入するなど、技術面・組織面の両輪で対策を推進することが重要といえるだろう。