クライアントサイドのWebセキュリティ企業Jscramblerは、脅威アクターが同社のnpmパッケージの悪意あるバージョンを公開し、これまでに約1,500回ダウンロードされていたことを明らかにしました。
悪意のあるJscramblerパッケージは8.14、8.16、8.17、8.20の各リリースに及んでおり、「preinstall」フックの実行時に動作する情報窃取マルウェアが含まれていました。
Jscramblerは土曜日に公開した警告の中で、「本日、Code Integrity製品で使用しているjscrambler npmパッケージの不正なバージョンが公開されていたことを確認しました」と述べています。
同社は「今回の事象はこのパッケージに限定されたものであり、Webpage Integrityを含む他のJscrambler製品には影響していません」とも説明しています。
Jscramblerは迅速に対応しましたが、悪意のあるパッケージは開発者が非推奨化して安全なバージョン8.22をリリースするまでの2時間にわたって公開されていました。
影響を受けたパッケージは他の4つのJscramblerパッケージの依存関係でもあり、同社はこれらについても非推奨化した上で新バージョンに置き換えています。
Node Package Manager(npm)の統計データによると、この悪意のあるパッケージは2時間の公開期間中に1,479回ダウンロードされていました。
Jscramblerは、Webおよびモバイル向けのJavaScriptアプリケーションをリバースエンジニアリングや改ざんから保護するための商用プラットフォームです。
同社のnpmパッケージは週間17,000ダウンロードを記録しており、アプリ開発者は自身のJavaScriptをJscramblerのサービスにアップロードすることで、コードの改ざんから保護できます。これにより、悪意のあるコードの注入といったリアルタイムの改変からの防御に役立ちます。
アプリケーションセキュリティ企業のSocketは今回の侵害を検知し、不正に公開されたJscramblerのリリースを分析しました。同社の研究者によると、このパッケージには複数の種類の機密データを狙う情報窃取機能が組み込まれていたということです。
- ソースコードおよびプロジェクトファイル
- 開発者の認証情報とシークレット(Git、SSH、環境変数、CI/CDトークン)
- クラウド認証情報とシークレットマネージャー(AWS、Azure、GCP、Kubernetes)
- AIコーディングツールおよびMCP設定(Claude、Cursor、Windsurf、VS Code、Zed)
- 暗号資産ウォレットとシードフレーズ(MetaMask、Phantom、Coinbase、Exodus、Trust Wallet)
- ブラウザデータ(Cookie、保存済み認証情報)
- メッセージング・コラボレーションアプリ(Slack、Discord、Telegram)
攻撃者に狙われる前に、すべてのレイヤーをテスト
セキュリティチームが検知に成功している攻撃はわずか54%で、アラートが上がるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。