非常に高度なリモートアクセス型トロイの木馬(RAT)がnpmレジストリに再び出現し、開発者環境を侵害しようとする執拗な試みが続いていることが明らかになりました。
2026年5月4日にnpmセキュリティチームが元の悪意あるパッケージ「forge-jsx」を削除した後、脅威アクターはすぐにその後継パッケージ「forge-jsxy」を公開しました。
新しいアカウントを使用した攻撃者は、バージョン番号をv1.0.66から再開し、中断したところからまったく同じように再開しました。
その後22日間にわたり、攻撃者は22の新バージョンをリリースし、このマルウェアを高機能なバックドアへと進化させました。
この脅威アクターはプロのソフトウェアチームのような規律を持って活動しており、構造化されたリリース、フィーチャーブランチ、包括的なテストスイートを活用しています。
盗まれたデータはすべて、コマンド&コントロール(C2)サーバー、Discordウェブフック、および攻撃者が管理するHugging Faceリポジトリへと密かに送信されます。
forge-jsxyパッケージは、システム全体のキーロギング、クリップボード監視、シェル履歴の窃取、.envファイルのスキャンなど、前身パッケージのすべての悪意ある機能を引き継いでいます。
さらに、最近の相次ぐアップデートにより、金融詐取およびシステムへの深い永続化を目的とした深刻な新たな脅威が追加されました。
暗号通貨ウォレットの窃取:マルウェアはファイルシステム全体をスキャンしてウォレットファイルを探し出し、BIP39ニーモニックを検証し、SolanaキーペアやseCP256k1秘密鍵を確認することで、ウォレットの自動ドレインを可能にします。
ブラウザ拡張機能の収集:21以上のChromiumベースブラウザのLevelDBデータベースを標的とし、MetaMask、Phantom、Rabbyなどの拡張機能を特定して狙います。
持続的な永続化:エージェントはnode_modulesの外にある隠されたプラットフォーム固有のディレクトリに自身をコピーし、開発者がパッケージをアンインストールしてもマルウェアが生き残ることを保証します。
自動アップグレード:WebSocketリレーにより、C2サーバーはユーザーの操作なしに感染マシンへ自動バージョンアップグレードを配信できます。
WebRTCデータチャネル:マルウェアは感染エージェントと攻撃者のリモートビューアー間で低遅延のピアツーピアデータ転送を確立します。
このマルウェアは持続的な永続化を確立するため、単にnpm uninstallコマンドを実行するだけでは感染マシンを安全な状態に戻すには不十分です。
forge-jsxyのいずれかのバージョンを誤ってインストールした開発者は、すべてのシステム認証情報、ブラウザデータ、および暗号通貨ウォレットが完全に侵害されたものとして扱わなければなりません。
SafeDepの調査によると、被害者は永続化エージェントのディレクトリおよびsystemdサービスやタスクスケジューラのエントリなどの関連する永続化メカニズムを手動で削除する必要があります。
さらに、.envファイル内のすべてのAPIキーおよびクラウドシークレットをローテーションし、クリーンなデバイスで作成した新しいウォレットへ暗号通貨資産を直ちに移転することが重要です。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的に無害化されています(例:[.])。再有効化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/malicious-npm-rat-backdoor/
