モジュールパスの混乱 + ライセンスストリップ = サプライチェーン攻撃の三連撃
確度 概ね確度あり
更新 2026-05-26
要再確認 2026-09-22
出典 3
機械翻訳 #security/supply-chain#security/dependency#security/dd
ウィキ上の位置づけ
この項目は FinWiki index の下にあります。ピア コンテキストの場合は Fork and Rebrand プロジェクトの五層監査フレームワーク、より広い依存関係の境界の場合は システム基盤 で読み取ります。
[!info]要約 3の独立した操作の組み合わせで供給チェーン攻撃が形成される:(1) go.mod / package.jsonのモジュールパスでupstream(例:github.com/cosmos/…)を危称、(2) replace命令で危う称パスを自前のforkへハイジャック、(3)メインリポジトリのLICENSEを削除。下流ユーザーが「正規」パスをインポートすると、実際にはforkが実行される。規制下にあるVASPルートでは、この種の攻撃面はJP VASP 安全審計認証系で部分的にカバーされる。
1。モジュールパスの混乱
- Go:module github.com/cosmos/cosmos-sdk が実際のリポジトリは github.com/
/x - npm:name @cosmos/sdkでscopeが自社所有ではない
- ユーザーが go get github.com/cosmos/cosmos-sdk を取るGOPROXY経由で危称forkを取得する可能性がある
2。ハイジャックを置き換える
- go.mod内ではgithub.com/cosmos/cosmos-sdk => ./forkを置き換えます
- 上流ユーザーがプロジェクトを取り込むとreplaceが透過し、強制的にforkを使われる
- モジュールパスと秘密と二重の識別名となる
3。ライセンスストリップ
- メインリポジトリにLICENSEファイルを置かない
- 元プロジェクトがApache 2.0のフォークであっても、法的には下流ユーザーは無許可使用となります
- このステップは見落とされることが多いが、法の表面を無視して拡大させる
識別チェックリスト
- go.mod 1行 のモジュールパスと GitHub URL は一致しているか
- go.mod内にreplace命令はあるか
- メインリポジトリのルートにLICENSE / LICENSE.md / LICENSE.txtはあるか
- package.json の名前フィールドは npm レジストリ上の実際のスコープと一致しているか
- コミットメッセージに元のフォーク名(例:“for
” 等の自首文字列) が混入していないか
いつ使用するか
- プロジェクトが「完全に自社開発」と謳いつつ、リポジトリ構造がフォークに酷似している
- この依存に挑戦している下流ユーザーがサプライチェーン・リスクリスクを行うケース — Bybit Lazarus $14.6 億 ハック詳細分析 (2025-02) — 史上最大の暗号資産流出のような重大事件では、サード粒子依存側のソーシャルエンジニアリング/ビルドツールチェーン攻撃の実リスクが露呈
- 法務側が「この会社はどのOSSを使うか/承認は適切か」を評価するケース
使用してはいけない場合
- 「fork of X」を知らない、元LICENSEを保持しているプロジェクト — 合法なforkに該当
- 純粋なアプリケーション層でモジュールパス 概念が無いプロジェクト
- クローズド出典で監査不能なプロジェクト(別経路で対応する必要) —例許可型チェーンのCantonのようなケースは、出典差分ではなくガバナンス+監査経路をえる必要がある
来歴
- ケーススタディ(vaporware Audit):コードの大半が上流パブリックチェーン・プロジェクトから直接コピー、go.modで上流モジュールパスを指摘、replaceでローカルフォークにハイジャック、メインリポジトリのLICENSEを削除、コミットメッセージに上流プロジェクト名が漏れて自首した事例
Discovery
続けて読む
次に読む
- プロキシ・アップグレード可能コントラクトの rug パターン — admin のアップグレード権限がバックドアになる このエントリは security domain の配下にある。依存するオンチェーン検証の仕組みについては bytecode forensic three-tier verify と併せて読み、アップグレード可能プロキシが現在デフォルトのデプロイ形態となっている、より広いスマートアカウントの文脈については ERC-4337 overview と併せて読むとよい。 security/proxy-upgrade-rug-pattern
- 能動的に公開停止された内容の救出 — Wayback Machineをフォレンジック手段として使う この項目はFinWiki indexの下に位置づけられる。同種の文脈としてforensic identity anchor chain、より広い証拠境界としてsystems indexとあわせて読む。 security/wayback-machine-as-forensic-tool
- Etherscan verified ソース汚染 — なぜ「verified」は「バイトコード」ではないのか このエントリは security domain の配下にある。実地の対応物として bytecode forensic three-tier verify と併せて読み、表示されているソースが本物であっても 次の implementation がそうではないケースについては proxy-upgrade rug pattern と併せて読むとよい。 security/etherscan-verified-source-poisoning
ここへリンク
- 金融における LLM・AI エージェントの応用 · 2026-05 応用領域の全体像 2026, 半ば時点で、金融における LLM / AI エージェントの活用範囲は、本番稼働している領域(顧客向けチャットボット、バックオフィス自動化、不正・AML トリアージ、開発者向けコパイロット)と、制約付きパイロット段階の領域(取引シグナル生成、与信判断支援、アドバイザリー水準の推奨)の二極に分化している。前者のクラスターは、G-SIB において「標準ツール」の閾値を越え... agent-economy/llm-agent-finance-application-overview-2026
- Bybit Lazarus $14.6 億 ハック詳細分析 (2025-02) — 史上最大の暗号資産流出 本項目は exchanges index の配下に位置する。ピア比較・対照の文脈では DMM Bitcoin 流出事件 詳細分析 (2024-05) — Lazarus 帰属 4,502.9 BTC とあわせて読み、より広いシステム・規制境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 を参照する。 exchanges/bybit-lazarus-hack-detailed-analysis
- CEX matching engine + cold/hot ウォレット内部架構 本項目は exchanges index 配下に位置する。比較・対照の文脈では 国内 VASP コールド保管 95% + 分別管理制度、より広いシステム上・規制上の境界については FSA 暗号資産交換業登録制度 — 番号体系・財務局管轄・登録要件 とあわせて読む。 exchanges/cex-matching-engine-wallet-architecture
- Git 履歴改竄の検出 — スカッシュおよび force-push された状態の復元 このエントリは security domain の配下にある。これは Wayback Machine as a forensic tool(公開停止された web コンテンツを復元する)のソースコード版に相当し、書き換えが消去しようとしたコミッターのメールアドレスやタイムスタンプを復元することで、forensic identity anchor chain における peopl... security/git-history-rewrite-detection
- タイポスクワッティング・パッケージ検出チェックリスト — npm / PyPI / Go の名前混同トリアージ このエントリは security domain の配下にある。module path confusion + LICENSE strip supply chain attack における具体的な攻撃を、再利用可能でレジストリ非依存のトリアージチェックリストへと一般化したものであり、スクワットされたパッケージを発行者へ結びつける必要がある場合には、forensic identit... security/typosquatting-package-detection-checklist