JavaScript依存関係から始まった大規模サプライチェーン攻撃、暗号通貨マイニングワームにより偶然解決
原題: Incident Report: CVE-2024-YIKES
なぜ重要か
JavaScriptからRust、Pythonエコシステムにまたがる複雑なサプライチェーン攻撃の実例として、パッケージ管理システムの相互依存リスクを示している
2026年2月、JavaScriptパッケージleft-justifyの脆弱性CVE-2024-YIKESにより大規模サプライチェーン攻撃が発生。攻撃は約400万人の開発者に影響したが、無関係な暗号通貨マイニングワームにより73時間後に偶然パッチされ解決した。
インシデントは、JavaScriptパッケージleft-justify(週間8億4700万ダウンロード)のメンテナーMarcus Chenのアパートから機器が盗まれたことから始まった。Chenは紛失したハードウェア2FA鍵の代替品を購入しようとしたが、AI検索結果に表示されたフィッシングサイトにnpmの認証情報を入力した。攻撃者はleft-justifyパッケージにpostinstallスクリプトを追加し、.npmrc、.pypirc、~/.cargo/credentials、~/.gem/credentialsなどの認証情報を窃取した。盗まれた認証情報の中にRustライブラリvulpine-lz4のメンテナーのものが含まれ、同ライブラリにbuild.rsスクリプトが追加された。このスクリプトは「build」「ci」「action」などがホスト名に含まれる場合にシェルスクリプトをダウンロード・実行する仕様だった。攻撃は最終的にPythonビルドツールsnekpackに到達し、PyPIパッケージの60%で使用されているため約400万人の開発者マシンにマルウェアがインストールされた。しかし73時間後、無関係な暗号通貨マイニングワームが偶然この脆弱性にパッチを適用し、インシデントは解決された。