ソラナユーザー資産盗難ケース分析：悪意のあるNPMパッケージが秘密鍵を盗む

2025年7月2日、あるユーザーがセキュリティチームに助けを求め、GitHub上のオープンソースプロジェクトを使用した後、暗号資産が盗まれたと報告しました。そのプロジェクトはsolana-pumpfun-botと呼ばれ、GitHubプラットフォームにホストされています。

セキュリティチームはすぐに調査を開始しました。まず、そのプロジェクトのGitHubリポジトリをチェックし、StarとForkの数が多いことを確認しましたが、コードのコミット時期が3週間前に集中しており、継続的な更新が不足していることが判明しました。この現象はセキュリティチームの警戒を引き起こしました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

さらに分析すると、このNode.jsプロジェクトはcrypto-layout-utilsという名前のサードパーティパッケージに依存していることがわかりました。しかし、このパッケージはNPM公式から削除されており、指定されたバージョンはNPMの履歴には存在していません。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

package-lock.jsonファイルを確認することで、チームは攻撃者がcrypto-layout-utilsのダウンロードリンクをGitHubのリリースアドレスに置き換えたことを発見しました。このパッケージをダウンロードして分析したところ、高度に難読化された悪意のあるコードであることが判明しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

解混淆後、セキュリティチームはこれが悪意のあるNPMパッケージであることを確認しました。それはユーザーのコンピュータ上のファイルをスキャンし、ウォレットや秘密鍵に関連する内容が見つかると、攻撃者が制御するサーバーにアップロードします。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

調査では、攻撃者が複数のGitHubアカウントを制御しており、悪意のあるプロジェクトをForkして悪意のあるプログラムを配布し、同時にプロジェクトのForkとStarの数を増やして、より多くのユーザーの関心を引き付けている可能性があることが明らかになりました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

いくつかのForkプロジェクトでは、別の悪意のあるパッケージbs58-encrypt-utils-1.0.3も使用されています。この悪意のあるパッケージは2025年6月12日に作成されており、攻撃者はその時から悪意のあるNPMパッケージやNode.jsプロジェクトを配布し始めたと推測されています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

オンチェーン分析ツールを通じて、チームは攻撃者のアドレスが盗まれた資金をある取引所に移転したことを追跡しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

今回の攻撃では、攻撃者が合法的なオープンソースプロジェクトを偽装し、ユーザーに悪意のあるコードをダウンロードさせて実行させました。攻撃者はまた、プロジェクトの人気を高め、信頼性を増加させました。このような攻撃は、ソーシャルエンジニアリングと技術的手法を組み合わせており、完全に防御することは難しいです。

開発者とユーザーは、出所不明のGitHubプロジェクトに対して高い警戒を保つことをお勧めします。特に、ウォレットや秘密鍵の操作に関わる場合は注意が必要です。デバッグが必要な場合は、独立した、センシティブデータのない環境で行うのが最良です。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる