.jpg?width=466&height=262&name=Evangelists-Martin%20Kraemer%20(1).jpg)
「やられたよ。みなさん、すみません。とても恥ずかしいです。」これはオープンソース開発者のqixが、ソーシャルエンジニアリングによりGitHubアカウントの認証情報を奪われた際に、世界に向けて発した開示・通知のメッセージです。
攻撃者は彼のアカウントを悪用し、複数のNPMパッケージにマルウェアを挿入して、暗号資産の支払い先を自分たちのウォレットへ誘導しようとしました。
悪意のあるコードはCI/CDの段階でエラーを引き起こしたため、実際の金銭的被害は限定的だったようです。しかし、GitHub上で2時間公開されていた事実を踏まえると、多くの組織に重大な影響を及ぼしていても不思議ではありません。
今回のペイロードは十分にテストされていなかった可能性があり、攻撃者としては初歩的なミスに見えます。とはいえ、影響を受けたパッケージの中には週あたり数億回ダウンロードされるものもあり、被害は甚大であった可能性があります。
これらのオープンソースパッケージは、スタートアップからフォーチュン500企業に至るまで、数え切れないほどのアプリケーションで利用されています。本件は、単一のメンテナのアカウントが侵害されるだけで、世界のソフトウェアエコシステムにおける数十億のインストールへ波及し得るという、オープンソースのサプライチェーンが抱える難しさを浮き彫りにしました。信頼で成り立つオープンソースの世界においても、この種の極めて効果的な攻撃は、開発者インフラを狙うサプライチェーン攻撃の新たなトレンドを示しています。
解決策は、CI/CDにセキュリティの保護策を組み込むことです。フィッシング耐性の高い多要素認証、信頼できる公開メカニズム、パッケージ変更の監視強化など、オープンソース全体での対策強化が急務です。
組織はもはやパッケージマネージャを盲目的に信頼すべきではありません。更新は検証と監視を徹底し、自社のソフトウェアエコシステムを守る必要があります。
開発者による最初の告知:
https://bsky.app/profile/bad-at-computer.bsky.social/post/3lydioq5swk2y
技術分析の全文:
https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack
実際の挙動のデモ:
https://github.com/naugtur/running-qix-malware?tab=readme-ov-file
原典:Martin Kraemer著 2025年9月11日発信 https://blog.knowbe4.com/yep-i-got-pwned.-sorry-everyone-very-embarrassing