2025年9月2日Ravie Lakshmanan暗号通貨 / マルウェア
サイバーセキュリティ研究者は、AtomicやExodusなどの暗号通貨ウォレットのデスクトップアプリに悪意のあるコードを注入するためのステルス機能を備えた悪意のあるnpmパッケージを発見しました。この攻撃はWindowsシステムを対象としています。
このパッケージはnodejs-smtpと名付けられており、正規のメールライブラリnodemailerを装い、同一のキャッチフレーズやページデザイン、README説明を用いています。これにより、2025年4月に「nikotimon」というユーザーによってnpmレジストリにアップロードされて以来、347回ダウンロードされています。現在は利用できなくなっています。
「インポート時に、このパッケージはElectronツールを利用してAtomic Walletのapp.asarを解凍し、ベンダーバンドルを悪意のあるペイロードに置き換え、アプリケーションを再パッケージ化し、作業ディレクトリを削除して痕跡を消します」とSocketの研究者Kirill Boychenkoは述べています。
主な目的は、受信者アドレスを脅威アクターが管理するハードコードされたウォレットに上書きし、Bitcoin(BTC)、Ethereum(ETH)、Tether(USDTおよびTRX USDT)、XRP(XRP)、Solana(SOL)のトランザクションをリダイレクトすることで、実質的に暗号通貨クリッパーとして機能します。
とはいえ、このパッケージはSMTPベースのメーラーとして本来の機能も果たし、開発者の疑念を避けるようになっています。
このパッケージはメーラーとしても動作し、nodemailerと互換性のあるドロップインインターフェースを提供します。この機能的なカバーにより疑念が低減され、アプリケーションのテストも通過し、開発者が依存関係を疑う理由がほとんどなくなります。
この動きは、ReversingLabsが発見した「pdf-to-office」というnpmパッケージの数か月後に起きました。このパッケージもAtomicおよびExodusウォレットに関連する「app.asar」アーカイブを解凍し、内部のJavaScriptファイルを改変してクリッパー機能を導入するという同様の目的を達成していました。
「このキャンペーンは、開発者のワークステーションでの通常のインポートが、別のデスクトップアプリケーションを静かに改変し、再起動後も持続することを示しています」とBoychenkoは述べています。「インポート時の実行とElectronパッケージングを悪用することで、見かけ上はメーラーのように見えるものが、侵害されたWindowsシステム上でAtomicやExodusを改変するウォレットドレイナーになるのです。」
翻訳元: https://thehackernews.com/2025/09/malicious-npm-package-nodejs-smtp.html