暗号通貨ウォレットから資金を吸い上げ、インストール後にコードベース全体を消去し、Telegram APIトークンを流出させる悪意のあるパッケージが、npm、Python、およびRubyのパッケージリポジトリで発見されました。これにより、オープンソースエコシステムに潜むサプライチェーンの脅威の多様性が再び示されました。
これらの発見は、最近数週間でCheckmarx、ReversingLabs、Safety、およびSocketによって公開された複数のレポートから来ています。これらのプラットフォームで特定されたパッケージのリストは以下の通りです –
Socketは、2つの悪意のあるジェムが、Bùi nam、buidanhnam、およびsi_mobileという別名で脅威アクターによって公開されたことを指摘しました。これは、先月末にベトナムがTelegramメッセージングアプリの全国的な禁止を命じた直後のことです。この禁止は、詐欺、麻薬密売、テロに関連する違法活動に対処するために政府と協力しなかったという理由によるものです。
“これらのジェムは、脅威アクターが制御するコマンドアンドコントロール(C2)サーバーを通じてトラフィックをリダイレクトすることで、Telegram APIに送信されたすべてのデータを静かに流出させます。”とSocketの研究者Kirill Boychenkoは述べました。”これには、ボットトークン、チャットID、メッセージの内容、および添付ファイルが含まれます。”
ソフトウェアサプライチェーンセキュリティ会社は、これらのジェムが、CI/CDパイプラインからTelegramチャンネルにデプロイメント通知を送信するために広く使用されている正当なFastlaneプラグイン「fastlane-plugin-telegram」の「ほぼ同一のクローン」であると述べました。
脅威アクターによって導入された悪意のある変更は、Telegramメッセージを送受信するために使用されるネットワークエンドポイントをハードコードされたサーバー(「rough-breeze-0c37.buidanhnam95.workers[.]dev」)に変更し、被害者とTelegram APIの間のリレーとして機能しながら、機密データを静かに収集します。
マルウェア自体が地域特有ではなく、ベトナムのシステムに実行を制限するジオフェンシングロジックを欠いていることから、攻撃者は単に国内のTelegram禁止を利用して、プロキシの名の下に偽のライブラリを配布したと考えられています。
“このキャンペーンは、脅威アクターが地政学的なイベントをどれほど迅速に利用してターゲットを絞ったサプライチェーン攻撃を開始できるかを示しています。”とBoychenkoは述べました。”Fastlaneのような広く使用されている開発ツールを武器化し、タイムリーな「プロキシ」機能の背後に資格情報を盗む機能を偽装することで、脅威アクターはパッケージエコシステムの信頼を利用してCI/CD環境に侵入しました。”
Socketはまた、「xlsx-to-json-lh」というnpmパッケージを発見しました。これは正当な変換ツール「xlsx-to-json-lc」をタイポスクワットし、何も知らない開発者がパッケージをインポートすると悪意のあるペイロードを起動します。2019年2月に初めて公開され、その後削除されました。
“このパッケージには、コマンドアンドコントロール(C2)サーバーへの持続的な接続を確立する隠されたペイロードが含まれています。”とセキュリティ研究者のKush Pandyaは述べました。”トリガーされると、警告や復旧オプションなしにプロジェクトディレクトリ全体を削除することができます。”
具体的には、フランス語のコマンド「remise à zéro」(「リセット」を意味する)がC2サーバーによって発行されると、破壊アクションが解き放たれ、ソースコードファイル、バージョン管理データ、設定ファイル、node_modules(自身を含む)、およびすべてのプロジェクト資産が削除されます。
別のセットの悪意のあるnpmパッケージ – pancake_uniswap_validators_utils_snipe、pancakeswap-oracle-prediction、ethereum-smart-contract、およびenv-process – が、難読化されたJavaScriptコードを使用して被害者のEthereumまたはBSCウォレットに存在する資金の80〜85%を盗み、攻撃者が制御するウォレットに転送することが判明しました。
@crypto-exploitというユーザーによってアップロードされたこれらのパッケージは、2,100回以上のダウンロードを集め、「pancake_uniswap_validators_utils_snipe」は4年前に公開されました。現在、これらはダウンロードできなくなっています。
PyPIで発見された同様の暗号通貨をテーマにした悪意のあるパッケージは、Solanaの秘密鍵、ソースコード、および侵害されたシステムからのその他の機密データを盗む隠れた機能を組み込んでいます。「semantic-types」は、2024年12月22日に最初にアップロードされたときには無害でしたが、2025年1月26日に悪意のあるペイロードが更新として導入されました。
PyPIパッケージのコレクションの1つは、オリジナルのソースコードに変更を加えることなく、実行時に関連する関数を修正することでSolanaキー生成メソッドを「モンキーパッチ」するように設計されています。
Pythonパッケージの背後にいる脅威アクターは、cappershipという別名を使用してリポジトリにそれらを公開したとされ、洗練されたREADMEファイルを使用し、それらをGitHubリポジトリにリンクすることで信頼性を持たせ、ユーザーを騙してダウンロードさせようとしました。
“キーのペアが生成されるたびに、マルウェアは秘密鍵をキャプチャします。”とBoychenkoは述べました。”その後、ハードコードされたRSA-2048公開鍵を使用して鍵を暗号化し、Base64で結果をエンコードします。暗号化された鍵はspl.memoトランザクションに埋め込まれ、Solana Devnetに送信され、脅威アクターがそれを取得して復号化し、盗まれたウォレットに完全にアクセスできるようにします。”
Vancouverに拠点を置くSafetyによると、Solanaエコシステムをターゲットにした11のPythonパッケージの第2弾は、2025年5月4日から24日の間にPyPIにアップロードされました。これらのパッケージは、開発者のシステムからPythonスクリプトファイルを盗み、外部サーバーに送信するように設計されています。特定されたパッケージの1つである「solana-live」は、Jupyter Notebooksをターゲットにして情報を流出させることが判明し、「価格取得ライブラリ」と主張しています。
タイポスクワッティングが依然として重要な攻撃ベクターであることを示す兆候として、Checkmarxは、ターミナル出力をカラー化するために広く使用されているPythonパッケージであるcoloramaと、npmで利用可能なカラー変換JavaScriptライブラリであるcolorizrを模倣する6つの悪意のあるPyPIパッケージをフラグしました。
“1つのエコシステム(npm)からの名前を使用して、別のエコシステム(PyPI)のユーザーを攻撃するという戦術は珍しいです。”と会社は述べました。”ペイロードは、デスクトップとサーバーへの持続的なリモートアクセスとリモート制御を可能にし、機密データを収集して流出させます。”
このキャンペーンの注目すべき点は、WindowsとLinuxシステムの両方のユーザーをターゲットにしていることであり、マルウェアがC2サーバーとの接続を確立し、機密の環境変数や設定情報を流出させ、エンドポイントセキュリティコントロールを回避する手段を講じることができることです。
とはいえ、LinuxとWindowsのペイロードが同じ攻撃者の作品であるかどうかは現在不明であり、類似のタイポスクワッティング戦術を悪用する別々のキャンペーンである可能性があります。
悪意のあるアクターは、人工知能(AI)ツールの人気の高まりを利用して、aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk、およびaliyun-ai-labs-sdkのようなPyPIパッケージでソフトウェアサプライチェーンを汚染することにも時間を無駄にしていません。これらは、Aliyun AI Labsサービスと対話するためのPythonソフトウェア開発キット(SDK)であると主張しています。
悪意のあるパッケージは、2024年5月19日にPyPIに公開され、24時間未満でダウンロード可能でした。しかし、これらの3つのパッケージは、レジストリから削除される前に合計で1,700回以上ダウンロードされました。
“インストールされると、悪意のあるパッケージは、初期化スクリプトからロードされたPyTorchモデル内に隠された情報スティーラーペイロードを配信します。”とReversingLabsの研究者Karlo Zankiは述べました。”悪意のあるペイロードは、感染したマシンの基本情報と.gitconfigファイルの内容を流出させます。”
モデル内に埋め込まれた悪意のあるコードは、ログインユーザーの詳細、感染したマシンのネットワークアドレス、マシンが所属する組織の名前、および.gitconfigファイルの内容を収集するように装備されています。
興味深いことに、組織名は、中国で人気のあるビデオ会議アプリケーションであるAliMeetingオンライン会議アプリケーションの設定から「_utmc_lui_」というプリファレンスキーを読み取ることで取得されます。これは、このキャンペーンのターゲットが中国にいる開発者である可能性を示唆しています。
さらに、この攻撃は、Pickleのような機械学習モデル形式の誤用によって引き起こされる脅威の増大を強調しています。これは、デシリアライズ中に任意のコード実行が可能です。
“脅威アクターは常に、セキュリティツールやセキュリティアナリストから悪意のあるペイロードを隠す新しい方法を見つけようとしています。”とZankiは述べました。”今回は、PyPIプラットフォームを介してマルウェアを配布するためにMLモデルを使用していました。これは巧妙なアプローチであり、セキュリティツールはMLモデル内の悪意のある機能の検出をサポートし始めたばかりです。”
翻訳元: https://thehackernews.com/2025/06/malicious-pypi-npm-and-ruby-packages.html