TokyoBlackHatNews

gbhackers.com 4分で読了

AIが生成したnpmマルウェア、攻撃者のプライベートGitHubトークンを漏洩

新たに発見された悪意あるnpmパッケージが、誤って自身の運用者のプライベートGitHubトークンを露出させたとして、サイバーセキュリティコミュニティ全体で注目を集めています。

OX Securityの研究者によって特定されたこのパッケージは「mouse5212-super-formatter」と名付けられており、正規の開発ユーティリティを装いながら、侵害されたシステムから機密ファイルを密かに外部送信するインフォスティーラーとして機能します。

報告時点ですでに676回ダウンロードされ、npm上で公開され続けているこのパッケージは、低コストながらも効果的なサプライチェーン脅威の増大する傾向を浮き彫りにしています。

Image

今回のケースでは、攻撃者の運用上のミスにより、外部送信インフラへの稀な可視性が提供され、リポジトリが削除される前に研究者がアクティブなデータ窃取セッションを観察することが可能となりました。

AIが生成したnpmマルウェア

OX SecurityがGBhackersと共有したレポートによると、この悪意あるパッケージは内部の「アーカイブデプロイ同期」ツールを装っています。表面上はGitHubリポジトリの検証と基本的なネットワーク診断情報の収集を行っているように見えます。しかし、その真の機能はより侵襲的です。

インストール後のフェーズにおいて、このマルウェアは環境トークン、またはコードに直接埋め込まれたハードコードされたフォールバックトークンのいずれかを使用してGitHubに認証します。

次にリモートリポジトリの存在を確認し、必要に応じて作成した上で、ローカルディレクトリパス「/mnt/user-data」の再帰的スキャンを開始します。

発見されたすべてのファイルはbase64でエンコードされ、GitHub Contents APIを通じてアップロードされます。マルウェアは実行ごとに一意に生成されたフォルダに窃取データを整理し、攻撃者が複数の被害者データセットを効率的に管理できるようにしています。疑惑を減らすため、「ネットワーク接続」とラベル付けされた偽の診断ログを生成し、真の意図を隠蔽します。

注目すべきことに、研究者はGitHub APIとのやり取りに使用される構造化リクエストラッパーと、収集プロセスを自動化する再帰的ファイル探索ルーティンを特定しました。

Image

コードのコメントやコミットメッセージは意図的に汎用的なものにされており、通常の検査では無害に見えて疑惑を回避するために生成されたものとみられます。

最も重大な運用上の失敗は、マルウェア内へのハードコードされたプライベートGitHubトークンの組み込みでした。この見落としにより、OX Securityは攻撃者のリポジトリに直接活動を追跡することができ、そこで約7件のアクティブな外部送信イベントが観察されました。これらの大部分は、より広範な展開の前に脅威アクターが実施したテスト実行であったと考えられます。

さらなる分析により、このキャンペーンで使用されたGitHubアカウントは、悪意あるパッケージが最初に公開される数時間前に作成されたものであることが判明しました。

攻撃者は「test」というラベルのリポジトリで機能テストを行っており、コミットのタイムスタンプと活動ログが追加のフォレンジックな洞察を提供しました。発見後まもなく、GitHubアカウントは削除されましたが、npmパッケージは引き続きアクセス可能な状態です。

影響を受けるパッケージの概要は以下の通りです:

パッケージ名:mouse5212-super-formatter

影響を受けるバージョン:全バージョン

推奨事項

このマルウェアは「/mnt/user-data」ディレクトリに保存されたファイルを特に標的にしており、このようなパスが一般的に使用される開発環境、コンテナ化されたワークロード、またはクラウドベースのシステムへの注目を示しています。パッケージがインストールされていた場合、このディレクトリ内の機密データは侵害されたとみなす必要があります。

Image

OX Securityは、影響を受けたユーザーに対して即時の修復手順を推奨しています。GitHubアクセストークンは、さらなる不正アクセスを防ぐために遅延なく取り消す必要があります。さらに、組織はシステムの機密データ露出を監査し、自動アップロードに関連する異常なGitHubリポジトリ活動を監視すべきです。

この事案は、攻撃者がAI生成コードに頼ってマルウェアを迅速に構築するという、脅威の状況における広範な変化を強調しています。これにより参入障壁は低下しますが、今回のケースで見られたように、運用上の欠陥も生じさせます。

トークン管理などの基本的なセキュリティ慣行の不適切な実装は、攻撃者のインフラを露出させ、防御者の助けとなり得ます。

AIを活用したマルウェア開発が広まるにつれ、セキュリティチームは同様のキャンペーンの急増を予期すべきです。これらの脅威の多くは高度さを欠く場合がありますが、特にソフトウェアサプライチェーンにおいて、依然として重大な被害をもたらす可能性があります。

オープンソースエコシステムの継続的な監視と、より厳格なパッケージ検証メカニズムが、これらのリスクを軽減するために不可欠となるでしょう。

翻訳元: https://gbhackers.com/ai-generated-npm-malware/

ソース: gbhackers.com
#AI生成マルウェア #GitHubトークン漏洩 #npm #OX Security #インフォスティーラー #オープンソースセキュリティ #サプライチェーン攻撃 #データ窃取 #マルウェア #脅威インテリジェンス

関連記事

VaultJacking攻撃:単一PINでGoogleパスワードボールトが露出

2026年版 モバイルアプリケーションセキュリティテスト(MAST)ツール トップ10

GiteaコンテナレジストリにおけるPrivateイメージ漏洩の危険性を持つ脆弱性が発見される