CryptoBriefJPHome
JAEN
PoliticsMay 25, 2026 12:38·5 min read

Researchers flag TrapDoor malware campaign targeting crypto developer environments including Aptos, Sui and Solana

Researchers flag TrapDoor malware campaign targeting crypto developer environments including Aptos, Sui and Solana
この記事をシェア𝕏 PostLINEFacebook

ポイント

  • セキュリティ研究者が「TrapDoor」と名付けられた悪意あるパッケージキャンペーンを確認。npm・PyPI・Crates.ioの3大パッケージリポジトリを悪用
  • 標的はAptos・Sui・Solanaの開発者環境で、Web3開発の主要エコシステムが横断的に狙われた
  • 開発者が依存関係として取り込んだ瞬間に感染するサプライチェーン攻撃の手口を採用
  • ウォレット秘密鍵・APIキー・認証情報の窃取が目的とみられ、プロジェクト単位の資産流出リスクがある

暗号資産開発者を標的にした新たなマルウェアキャンペーン「TrapDoor」が明らかになった。npm・PyPI・Crates.ioに仕掛けられた不正パッケージを通じ、Aptos・Sui・Solanaの開発環境に侵入を試みるサプライチェーン攻撃で、Web3エンジニアにとって無視できない脅威だ。

なぜ開発者が狙われるのか

エンドユーザーではなく開発者を狙う理由は単純で、費用対効果が高いからだ。

一般的なウォレットハックはユーザー1人ひとりを騙す必要があるが、開発者環境への侵入は話が違う。感染したライブラリが本番環境のコードに紛れ込めば、そのプロジェクトを利用する数万人分のウォレット情報や秘密鍵にアクセスできる可能性がある。いわゆる「サプライチェーン攻撃」だ。

過去にもこの手口は繰り返されてきた。2023年のXZライブラリ汚染事件はLinuxのバックドア挿入未遂として広く報道されたし、2022年には「event-stream」パッケージを通じた仮想通貨ウォレット攻撃も記録されている。TrapDoorはそのWeb3特化版と言っていい。

npm(JavaScriptのパッケージ管理)、PyPI(Python)、Crates.io(Rust)という3つのリポジトリが同時に使われた点も注目すべきだ。Aptos・SuiはMoveという言語で書かれたスマートコントラクトが主力だが、SDKやツールチェーンではPythonやJavaScriptも多用される。Solanaのエコシステムも同様で、Rustが核心にあるため今回Crates.ioが対象に含まれたのは筋が通っている。攻撃者は各チェーンの技術スタックを正確に把握した上でパッケージを配置している。

攻撃の仕組み——「依存関係」という盲点

問題の本質は、開発者が悪意あるパッケージと気づかずにインストールしてしまうところにある。

正規パッケージに名前をわずかに似せた「タイポスクワッティング」や、既存パッケージのメンテナーアカウントを乗っ取る手法が典型例だ。npm installpip install を叩いた瞬間、マルウェアが開発マシン上で動き始める。ここから先は環境変数の読み取り、秘密鍵ファイルのスキャン、外部サーバーへのデータ送信といった動作が自動的に進む。

特に怖いのはCI/CDパイプラインへの感染だ。GitHub ActionsやGitLab CIなどの自動ビルド環境が汚染されると、コードが自動デプロイされるたびに攻撃が繰り返される。検知が遅れるほど被害が広がる構造になっている。

市場への含意

投資家目線で整理すると、このキャンペーンの影響は「すぐに価格が動く」話ではない。ただし無視は禁物だ。

プロジェクトリスクの再評価材料になる。 Aptos・Sui・Solanaはいずれも機関投資家の資金も流入している主要エコシステム。開発者環境が汚染されてスマートコントラクトのデプロイキーが漏洩した場合、プロトコル全体のトレジャリーが危険にさらされうる。DeFiプロジェクトのネイティブトークンを保有しているなら、当該プロジェクトのセキュリティ体制を改めて確認する価値がある。

監査済みコードへの信頼前提が崩れる。 スマートコントラクト自体の監査が完了していても、ビルドチェーンが汚染されていれば意味をなさない。「コードが安全だから大丈夫」という前提は今回の手口の前では通用しない。

Solanaエコシステムは特に要注意。 開発者コミュニティの規模が大きいほど悪意あるパッケージが紛れ込みやすく、Solanaのnpmエコシステムはその規模から狙われやすい。筆者はSolana関連のDeFiやNFTプロジェクトへのエクスポージャーが大きい場合、直近のコントラクト更新履歴を確認することを勧めたい。

まとめ

TrapDoorキャンペーンは、仮想通貨のセキュリティ攻撃が「ユーザー騙し」から「インフラ汚染」へと進化している現実を改めて示している。npm・PyPI・Crates.ioという日常的に使われるツールが武器になる以上、開発者は依存関係の管理を最優先課題として扱うべきだ。投資家の視点では、保有プロジェクトがどのような開発セキュリティ体制を持つかが、今後のリスク評価基準に加わってくる。攻撃者は賢くなっている。こちらも同じスピードで対応するしかない。

よくある質問

Q1. サプライチェーン攻撃とは何か?

ソフトウェア開発で使われるライブラリやツールなど「供給側」に悪意あるコードを仕込み、それを利用した開発者・ユーザー全員に被害を広げる攻撃手法。直接ターゲットを攻撃するのではなく、信頼されたルートを経由することで検知を回避しやすく、被害規模が大きくなりやすい点が特徴だ。暗号資産分野では秘密鍵の窃取やコントラクトの改ざんに悪用される。

Q2. 開発者でなくても一般の暗号資産保有者に影響はあるか?

直接の影響は少ないが、ゼロではない。感染した開発環境から作られたDeFiプロトコルやウォレットアプリを経由して被害を受けるケースがある。利用しているプロジェクトの公式チャンネルで異常な報告がないか定期的に確認し、使用するウォレットアプリは公式ソース以外からインストールしないことが基本的な防衛策になる。

広告Sponsored
DMM CFD
この記事をシェア𝕏 PostLINEFacebook

Related articles

Source
The BlockRead the original ↗
This article is commentary based on publicly available prediction-market data and news. All investment decisions are at your own risk. This site participates in affiliate programs; we may earn referral fees from links in articles.