【ITニュース解説】Malicious npm Package nodejs-smtp Mimics Nodemailer, Targets Atomic and Exodus Wallets

作成日: 2025年09月03日更新日: 2025年09月03日

ITニュース概要

人気のメール送信ライブラリ「nodemailer」になりすました、悪意のあるnpmパッケージ「nodejs-smtp」が発見された。開発者が誤ってインストールすると、PC内の仮想通貨ウォレットから資産が盗まれる危険がある。ライブラリ導入時は公式なものか慎重な確認が必要だ。

出典: Malicious npm Package nodejs-smtp Mimics Nodemailer, Targets Atomic and Exodus Wallets | The Hacker News公開日: 2025年09月02日

ITニュース解説

最新のサイバーセキュリティニュースとして、ソフトウェア開発の現場で利用される重要なツールが悪用された危険な事例が報告された。これは、開発者がプログラムを作る際に利用する「npm」というシステムを通じて、悪意のあるソフトウェア（マルウェア）が配布されたケースである。まず、npmについて説明する。npmとは、JavaScriptというプログラミング言語で開発を行う際に、他の開発者が作った便利な部品や機能を自分のプログラムに簡単に組み込むための仕組みだ。これらの部品は「パッケージ」や「ライブラリ」と呼ばれ、例えばウェブサイトの見た目を整える機能や、データベースと連携する機能など、様々なものが公開されている。開発者はこれらのパッケージをnpmを通じてダウンロードし、自分のプロジェクトで利用することで、一から全てを自分で作る手間を省き、効率的にソフトウェアを開発できる。この仕組みは現代のソフトウェア開発において不可欠なものであり、日々膨大な数のパッケージがnpm上で公開・利用されている。今回問題となったのは、「nodejs-smtp」という名前のパッケージだ。このパッケージは、実際には悪意のあるコードを含んでいたにもかかわらず、多くの開発者に信頼されている正規のメール送信ライブラリ「nodemailer」に巧妙になりすましていた。そのなりすましの手口は非常に巧妙で、パッケージの名前が似ているだけでなく、npmのパッケージ情報ページに表示される説明文や、パッケージの使い方が書かれたREADMEファイルの内容、さらにはウェブサイトでの見せ方まで、本物の「nodemailer」と見分けがつかないほどに模倣されていた。これにより、多くの開発者が本物と誤認し、悪意のある「nodejs-smtp」パッケージを自分のプロジェクトにインストールしてしまう危険性があった。実際に、この偽パッケージは347回もダウンロードされていたことが確認されている。この悪意のある「nodejs-smtp」パッケージの目的は、Windowsシステム上で動作する特定の仮想通貨ウォレットのデスクトップアプリケーションを標的にすることだった。具体的には、「Atomic Wallet」や「Exodus Wallet」といった、ユーザーのデジタル資産を管理する重要なアプリケーションが悪用された。パッケージには「ステルス機能」と呼ばれる、自身の悪意ある活動を隠蔽するための仕組みが備わっており、これを使いウォレットアプリに不正なコードをこっそり忍び込ませることができた。悪意のあるコードがウォレットアプリに注入されると、ユーザーの知らないうちに仮想通貨の情報を盗み取ったり、不正な送金を行わせたりするなど、金銭的な被害に直結する危険性があった。仮想通貨は高額な価値を持つため、このようなウォレットアプリケーションはサイバー攻撃者にとって常に狙われやすいターゲットの一つだ。このようなサイバー攻撃は、ソフトウェア開発における「サプライチェーン攻撃」の一種だと言える。サプライチェーンとは、製品が消費者に届くまでの全ての工程を指し、ソフトウェア開発においては、様々な開発ツールやライブラリ、サービスなどが含まれる。そのどこか一箇所でもセキュリティの穴があると、最終的な製品やサービス全体が危険に晒されてしまう。今回の事例は、開発者が日常的に利用するパッケージという「部品」が悪意を持って改ざんされ、それが利用者に届くソフトウェアにまで影響を及ぼす典型的な例である。システムエンジニアを目指す者として、このような脅威から身を守り、安全なソフトウェアを開発するためには、常に高いセキュリティ意識を持つことが極めて重要だ。npmなどのパッケージ管理システムから新しいパッケージをインストールする際には、単に便利だからという理由だけでなく、そのパッケージが本当に信頼できるものなのかを慎重に確認する習慣を身につける必要がある。具体的には、パッケージの作者が誰であるか、十分に活発に更新されているか、ダウンロード数が非常に多いか、コミュニティでセキュリティ上の問題が報告されていないかといった情報を常にチェックするべきだ。また、開発に使用するツールやライブラリのセキュリティに関する最新情報を常に追う努力も欠かせない。今回のニュースは、技術の進化がもたらす利便性の裏側には、常に新たなセキュリティリスクが潜んでいることを明確に示している。システムエンジニアは、単にコードを書くだけでなく、そのコードがどのように作られ、どのように配布され、どのような環境で動くのかといった全体像を理解し、常にセキュリティの視点から物事を考える力が求められる。