オープンソースのソフトウェアサプライチェーンを狙った協調的なマルウェアキャンペーンが最近発生し、人気の高いセキュアな決済アプリケーションを開発しているエンジニアが標的となっています。
2026年7月7日、自動セキュリティスキャナーがnpmおよびPyPIレジストリ上でほぼ同時に公開された17個の悪意あるパッケージ群を検知しました。
これらのパッケージは、主要な決済プラットフォームであるPaySafe、Skrill、Netellerの正規ソフトウェア開発キット(SDK)を模倣するよう設計されていました。
タイポスクワッティング(綴りの類似を悪用した手口)や紛らわしい命名規則を利用することで、脅威アクターは開発者を騙し、悪意あるコードを自分たちの環境に組み込ませようとしていました。
いったんインストールされると、このマルウェアの主な目的は認証情報とトークンの窃取です。パッケージは開発者のマシンや継続的インテグレーション(CI)ランナーから機密情報を密かに収集し、最終的に外部インフラへと流出させます。
これらのパッケージは公開から数分以内に検知されたものの、今回のキャンペーンは金融関連の統合機能を狙ったサプライチェーン攻撃がますます巧妙化していることを浮き彫りにしています。
この攻撃の核心は、非常に精巧に作り込まれた偽SDKのフェイクぶりにあります。例えば悪意ある paysafe-node パッケージでは、攻撃者は正規のPaysafe RESTクライアントを完璧に模倣したクライアントを構築していました。
設定のために環境変数を読み込み、決済や顧客情報を作成・取得するための標準的なAPIエンドポイントを公開します。
しかし実際にはPaysafeへの外部呼び出しを行う代わりに、この偽SDKは即座にシミュレートされた成功メッセージを返します。
この巧妙なカモフラージュにより、統合機能をテストする開発者は目立ったエラーを目にすることがなく、悪意あるコードが背後で気づかれずに動作し続けることになります。
開発者がSDKは正常に機能していると信じ込んでいる間、マルウェアは水面下で機密性の高い環境変数を積極的に探し出します。特にKEY、SECRET、TOKEN、PASS、AUTH、APIといったキーワードを含む変数を標的としています。
これは、AWSアクセスキー、GitHubトークン、npm公開用トークンといった極めて機密性の高い認証情報が、侵害のリスクにさらされていることを意味します。
このマルウェアのPyPI版はさらに攻撃的で、特定のAPIキーによる有効化を必要とせず、配置された時点で即座にペイロードを実行します。
自らの活動を守るため、このマルウェアは強固なアンチ解析・サンドボックス回避技術を採用しています。ペイロードを実行する前に、コードはホストシステムのハードウェアをチェックします。
CPUコア数が2未満(自動解析用サンドボックスによく見られる特徴)であることを検知した場合、あるいはマシンのホスト名にセキュリティ関連のキーワードを検出した場合、マルウェアは直ちにデータ流出処理を中断します。
さらに攻撃者は、XOR暗号化、文字シフト、文字列反転という3段階のデコード処理の背後に、コマンド&コントロールサーバーを巧妙に隠していました。
これにより、窃取したデータをNgrokでホストされたドメインへひそかに送信することが可能となっていました。これはサイバー犯罪者が従来型のファイアウォールルールを回避するためによく用いる手口です。
Socketによれば、今回のキャンペーンの体系立った性質から、脅威アクターが開発者のワークフローと防御技術の両方について深い理解を持っていることがうかがえるとしています。
npmエコシステムとPythonエコシステムを自在に行き来する能力、そしてパッケージのバージョンごとに異なる難読化キーを使い分けている点から、彼らはシグネチャベースの検知を積極的に回避しようとしており、今後も再来する可能性が高いと考えられます。
決済用SDKに依存する組織は、直ちに自社環境を保護するための対応を取る必要があります。
もし所属チームが paysafe-checkout、skrill-payments、paysafe-sdk など今回のキャンペーンに該当する名前のパッケージをインポートまたは実行していた場合は、環境がすでに侵害されているものとみなすべきです。
最初に取るべき最も重要な対応は、影響を受けた可能性のあるマシン上のすべてのシークレットをローテーションすることです。特にマルウェアの標的条件に一致する環境変数には細心の注意を払ってください。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自社のSIEMなど、管理された脅威インテリジェンス基盤上でのみ行ってください。
翻訳元: https://cyberpress.org/fake-sdks-target-developers/