コンテンツにスキップするには Enter キーを押してください

フィッシング攻撃でメンテナートークンが盗まれ、6つのnpmパッケージにマルウェアが注入される

投稿日 2025年7月20日

2025年7月20日Ravie LakshmananDevOps / 脅威インテリジェンス

Image

サイバーセキュリティ研究者らは、プロジェクトメンテナーのnpmトークンを盗むことを目的としたフィッシングキャンペーンを通じて、人気のnpmパッケージを標的としたサプライチェーン攻撃が発生したと警告しています。

盗まれたトークンは、その後、各GitHubリポジトリでソースコードのコミットやプルリクエストを行うことなく、パッケージの悪意あるバージョンを直接レジストリに公開するために使用されました。

Socketによると、影響を受けたパッケージとその不正バージョンのリストは以下の通りです –

  • eslint-config-prettier(バージョン 8.10.1、9.1.1、10.1.6、10.1.7)
  • eslint-plugin-prettier(バージョン 4.2.2、4.2.3)
  • synckit(バージョン 0.11.9)
  • @pkgr/core(バージョン 0.2.8)
  • napi-postinstall(バージョン 0.3.1)

「注入されたコードはWindowsマシン上でDLLを実行しようとし、リモートコード実行を可能にする可能性がありました」と、ソフトウェアサプライチェーンセキュリティ企業は述べています。

この事案は、npmになりすましたメールを送信し、プロジェクトメンテナーを誤ってタイポスクワットされたリンク(「npmjs[.]com」ではなく「npnjs[.]com」)に誘導して認証情報を収集するフィッシングキャンペーンの発覚を受けて発生しました。

「件名:Please verify your email address(メールアドレスを確認してください)」というデジタルメッセージは、npmに関連する正規のメールアドレス(「support@npmjs[.]org」)を偽装し、受信者に埋め込まれたリンクをクリックしてメールアドレスを認証するよう促していました。

Socketによると、被害者がリダイレクトされる偽のランディングページは、正規のnpmログインページをクローンしたもので、ログイン情報を盗み取るよう設計されています。

影響を受けたパッケージを利用している開発者は、インストールされているバージョンを確認し、安全なバージョンにロールバックすることが推奨されています。プロジェクトメンテナーには、アカウント保護のために二要素認証を有効にし、パッケージ公開にはパスワードの代わりにスコープ付きトークンを使用することが勧められています。

「このインシデントは、メンテナーへのフィッシング攻撃がいかに迅速にエコシステム全体の脅威へと発展しうるかを示しています」とSocketは述べています。

この発見は、ロシアまたはベラルーシのドメインを持つウェブサイト上でマウス操作を無効化するプロテストウェア機能を含む28個のnpmパッケージが大量に公開されるという、無関係のキャンペーンとも時期を同じくしています。これらはウクライナ国歌をループ再生するようにも設計されています。

ただし、この攻撃は、サイト訪問者のブラウザの言語設定がロシア語であり、かつ場合によっては同じウェブサイトを2回目に訪問した場合にのみ機能するため、リピーターのみが標的となります。この活動は、先月最初に報告されたキャンペーンの拡大を示しています。

「このプロテストウェアは、開発者による行動がネストされた依存関係の中で気付かれずに広がり、発現までに数日から数週間かかる場合があることを強調しています」と、セキュリティ研究者のOlivia Brownは述べています

Arch Linux、Chaos RATマルウェアをインストールする3つのAURパッケージを削除#

また、Arch Linuxチームは、Arch User Repository(AUR)にアップロードされ、リモートアクセス型トロイの木馬であるChaos RATを、現在は削除されたGitHubリポジトリからインストールする隠し機能を持っていた、3つの悪意あるAURパッケージを削除したと発表しました。

影響を受けたパッケージは、「librewolf-fix-bin」、「firefox-patch-bin」、「zen-browser-patched-bin」です。これらは2025年7月16日に「danikpapas」というユーザーによって公開されました。

「これらのパッケージは、リモートアクセス型トロイの木馬(RAT)として特定された同じGitHubリポジトリからスクリプトをインストールしていました」と、メンテナーは述べています。「これらのパッケージのいずれかをインストールした可能性のあるユーザーは、システムから削除し、侵害されていないことを確認するために必要な対策を講じることを強く推奨します。」

翻訳元: https://thehackernews.com/2025/07/malware-injected-into-6-npm-packages.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です