セキュリティ警告：GitHubの侵害された依存関係を通じたプライベートキーの盗難

GitHubプラットフォーム上の開発者に深刻なセキュリティ警告が検出されました。プロジェクト「polymarket-copy-trading-bot」が悪意のあるコードに侵害されており、アプリケーションの初期化時に自動的にユーザーのウォレットの秘密鍵を盗み出す仕組みが仕込まれています。この事件は、このリポジトリをインストールまたは使用したすべての人にとって重大な脅威です。

鍵の盗難の仕組み

攻撃の仕組みは巧妙ですが効果的です。プログラムが起動すると、悪意のあるコードが自動的にユーザーの.envファイルに保存されている秘密鍵を抽出します。この機密情報は、その後、攻撃者が管理するサーバーに暗号化された状態で送信されます。これには、一見正当な依存パッケージである@easynode/ethers-utilsが利用されています。

この攻撃は、開発者がnpmのライブラリに対して持つ信頼を悪用しています。侵害された依存関係を組み込むことで、悪意のあるコードは静かに実行され、最も重要な暗号資格情報を盗み出します。

悪意のあるコードの特定

この攻撃に使用された悪意のあるパッケージは@easynode/ethers-utilsとして識別されます。主な目的は、正規のアプリケーションが秘密鍵を使用する前にそれを傍受することです。盗まれた情報は暗号化された状態で攻撃者のサーバーに送信され、被害者のデジタル資産に完全にアクセスできるようになります。

依存関係へのコード注入は非常に危険で、多くの開発者がインポートしたライブラリのソースコードを確認しないため、セキュリティ脅威の拡散を容易にしています。

資産を守るための推奨事項

polymarket-copy-trading-botを使用した場合は、直ちに対応することが重要です。まず、すべてのプログラムのインスタンスを停止し、.envファイルを確認して秘密鍵が漏洩していないかを検査してください。これらの資格情報にリンクされたウォレットはリスクにさらされている可能性があります。

さらに、npmパッケージをインストールする前に、その評判、更新履歴、含まれる依存関係を確認してください。セキュリティ分析ツールを使用して、ローカル環境で実行する前に依存関係内の悪意のあるコードを検出することも推奨します。

このセキュリティ警告は、秘密情報の管理とコード検証の堅牢な実践の重要性を強調しています。GitHubコミュニティは、依存関係の侵害に対する警戒を怠らないようにしましょう。