サイバー犯罪
さらに、同じ悪党によって3つの他のパッケージに3つの他のスティーラーが存在
Shai-Huludのコピー品がTeamPCPがワームをオープンソース化し、BreachForumsで供給チェーン攻撃コンペティションを発表してからわずか5日後に、別のnpmパッケージで発見されました。
毒入りパッケージ「chalk-tempalte」は、人気のあるJavaScriptターミナル文字列スタイリングライブラリ「Chalk」の拡張として偽装しています。これはTeamPCPが先週GitHubに公開したShai-Huludの複製を含んでおり、TeamPCPは170以上のnpmパッケージを認証情報窃取マルウェアで毒した後、継続的な供給チェーン攻撃の一環としてオープンソース開発ツールを対象にしています。
さらに、chalk-tempalteにワームをアップロードした同じ悪党が、3つの他の悪質なnpmパッケージ(@deadcode09284814/axios-util、axois-utils、color-style-utils)も公開しており、これらはinfostealer コードを含んでいます。Oxセキュリティ研究者がこのマルウェアを週末に検出・報告しました。
「これら4つのマルウェアは本質的に異なります。収集されるデータはそれぞれ異なり、流出したIPアドレス、クラウド構成、暗号資産ウォレット、環境変数が含まれます。さらに、1つのマルウェアは被害者のマシンをDDoSボットネットに変えてしまいます。これらはすべて同じnpmユーザーからのものです」と研究者Moshe Siman Tov Bustan日曜日に書きました。
これらのパッケージのいずれかのバージョンをインストールした人は誰でも影響を受けると彼は付け加え、週間ダウンロード数の合計は2,678であることを指摘しました。
月曜日、研究者たちはThe Registerに、4つの新しいスティーラー感染の背後にあるnpmユーザーが、ホームコンピュータまたはローカルサーバーファームから供給チェーンキャンペーンを実行していたことを明かしました。「lhr.lifeの使用は、内部ネットワークをインターネットに露出させるために使用されるリバースプロキシの明確な指標です」とメールで書き、犯人は被害者の暗号資産ウォレットとアカウントを対象としているコードから金銭的な動機があるようだと付け加えました。
さらに、DDoSボットネットコンポーネントについて「インフラストラクチャとサービスを停止させることを目指すアナーキーグループとの関連性を示すか、DDoS-as-a-serviceとして販売する意図を示す可能性があります」と彼らは付け加えました。
これらの4つのいずれかを実行している場合は、悪質なパッケージをすぐにアンインストールし、IDEやClaude Codeまたはその他のコーディングエージェントから関連する悪質な構成を削除してください。また、影響を受けたマシン上のキーをローテーションし、「A Mini Sha1-Hulud has Appeared」という文字列を含むGitHubリポジトリを確認する必要があります。アプリケーションセキュリティ企業が注意を促しています。
Shai-Huludのコピー品は、元のワームと同様に、秘密、認証情報、暗号資産ウォレット、アカウント、その他の機密データを盗み、これらすべてをリモートコマンド・アンド・コントロールサーバー(87e0bbc636999b[.]lhr[.]life)に送信します。また、盗まれた認証情報を新しいGitHubリポジトリにアップロードしました。
@deadcode09284814/axios-utilマルウェアはSSHキー、環境変数、クラウド認証情報を収集・流出させ、80[.]200[.]28[.]28:2222に送信します。color-style-utilsスティーラーはIPアドレス、IPジオロケーション、暗号資産ウォレットを吸い上げ、edcf8b03c84634[.]lhr[.]lifeに送信します。
4番目の悪質なnpmパッケージ(axois-utils)はそのペイロードを「phantom bot」と呼んでいます。コードはGoで記述されており、WebサイトをHTTP、TCP、UDP、リセットリクエストで殺到させるDDoSボットネットが含まれています。永続化メカニズムにより、パッケージが削除されても感染したマシンに残存することが保証されます。
これら4つはすべて同じnpmユーザーからのものであり、Bustanはnpm全体に広がるinfostealer流入は「来たるべき供給チェーン攻撃の波の最初の段階にすぎない」と警告しています。®
養ってくれた者を噛む
