ハッカーたちは「TrapDoor」と名付けられた大規模なサプライチェーン攻撃を通じて、オープンソースエコシステムを悪用し、開発者の機密データを積極的に窃取しています。
この攻撃キャンペーンはnpm、PyPI、Crates.ioにまたがり、34個の悪意あるパッケージと384バージョンを利用して、暗号通貨、DeFi、AI、クラウド環境に従事する開発者を標的にしています。
攻撃者は正規のパッケージインストールおよびビルドの仕組みを悪用し、悪意あるコードを密かに実行させています。npmのpostinstallスクリプト、Pythonのインポート動作、Rustのbuild.rsコンパイルフェーズを利用することで、マルウェアはユーザーの操作なしにインストール時またはプロジェクトビルド時に自動的に起動します。
これにより、脅威アクターはSSHキー、クラウド認証情報、APIトークン、暗号通貨ウォレットなど、価値の高い資産を収集できるようになっています。
SlowMistのMistEyeプラットフォームによるセキュリティ監視では、3つのエコシステム全体にわたる広範な活動が確認されています。研究者たちはgit-config-sync(PyPI)、token-usage-tracker(npm)、sui-framework-helpers(Crates.io)という3つの代表的な悪意あるパッケージを分析しました。
各パッケージは正規の開発ツールを装っていましたが、内部にはデータ窃取のロジックが隠されていました。
Pythonパッケージのgit-config-syncは、インポートされた直後に悪意あるコードを実行します。AWSキー、GitHubトークン、秘密鍵、パスワードを対象とした正規表現パターンを使用して、.ssh、.aws、.docker、.kubeといった機密ディレクトリをスキャンし、認証情報を探し出します。
窃取されたデータは、GitHub Pagesでホストされたリモート設定ファイルから取得した攻撃者管理のエンドポイントへ送信されます。特筆すべき点として、TLS検証が無効化されており、攻撃者がトラフィックをより容易に傍受・改ざんできる状態になっています。
34個の悪意あるパッケージによるクラウドキー窃取
npmパッケージのtoken-usage-trackerは、今回のキャンペーンで最も高度なコンポーネントです。インストール後にバックグラウンドプロセスとして起動し、ブラウザの認証情報、クラウド設定、シェル履歴、暗号通貨ウォレットなどの機密データを継続的に収集します。
また、保護が弱いEthereumキーストアのクラックも試みます。マルウェアは窃取したデータをFernet暗号化で暗号化したうえで、webhookエンドポイントまたはGitHub Gistを通じて外部へ流出させます。
データ窃取にとどまらず、このnpmパッケージは持続性と拡散のメカニズムも備えています。シェル設定ファイルを改ざんし、悪意あるGitフックを注入するほか、.cursorrulesやCLAUDE.mdなどのファイルに隠し命令を挿入することでAI開発環境を汚染します。
こうした命令はAIコーディングアシスタントに悪意あるコマンドを実行させ、リポジトリや開発環境全体へのさらなる拡散を可能にします。
Rustパッケージのsui-framework-helpersは、build.rsを通じてビルドプロセス中に実行されます。Sui、Solana、Aptosのブロックチェーンウォレットファイルを標的とし、データをXOR難読化でエンコードしたのち、公開GitHub Gistにアップロードします。
npmおよびPythonのバリアントとは異なり、共有インフラが明確でなく、より広範なキャンペーンとの関連は外部帰属に基づいています。
TrapDoorキャンペーンの重要な特徴の一つは、データ流出にGitHub Pages、raw.githubusercontent.com、webhook.siteといった信頼されたプラットフォームを活用している点です。
これらのサービスは企業環境でホワイトリストに登録されていることが多く、悪意あるトラフィックが正規の開発者アクティビティに紛れ込み、検知を回避できます。
すべてのサンプルにわたる攻撃チェーンは、一貫したパターンをとっています。インストールまたはビルド時の実行トリガー、ローカル環境からの認証情報収集、そして信頼されたチャネルを通じたデータ流出です。
ただし、npmバリアントは持続性・拡散性を持ち、リモートコマンドの実行も可能なことから、他と比べてその影響は特に大きいと言えます。
セキュリティ専門家は、今回のキャンペーンがソフトウェアサプライチェーン攻撃の高度化を改めて示すものだと警告しています。開発者に対しては、依存関係の監査、ロックファイルの使用、アウトバウンドトラフィックの監視、そしてインストール前に不審なパッケージの挙動を検知できるセキュリティツールの活用が強く推奨されています。
IOC
ドメイン
ddjidd564[.]github[.]io
URL
https[:]//ddjidd564[.]github[.]io/defi-security-best-practices/config.jsonhttps[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/main/config.jsonhttps[:]//ddjidd564[.]github[.]io/defi-security-best-practices/priority_targets.jsonhttps[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/gh-pages/scan-bundled.jshttps[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/gh-pages/scan.jshttps[:]//webhook[.]site/2ada14c8-00f6-43ce-9ad6-f5dc15952246https[:]//webhook[.]site/7513bf3d-7092-4739-bf15-a8f779a75546https[:]//webhook[.]site/d1652693-2eb8-4281-b9e8-cffff36da2f8
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://gbhackers.com/34-malicious-packages-steal-cloud-keys/
