- 10個のタイポスクワットされたnpmパッケージが約1万台のシステムに情報窃取マルウェアを配布
- マルウェアはシステムのキーチェーンを標的とし、アプリレベルのセキュリティを回避して復号化された認証情報を窃取
- 影響を受けたユーザーは認証情報の無効化、システムの再構築、多要素認証の有効化が必要
危険な情報窃取マルウェアを配布する悪意のあるnpmパッケージが10個近く、発見・削除されるまでに約1万回ダウンロードされていました。
最近、セキュリティ研究者のSocketは、npm(Node Package Manager)エコシステムを利用してJavaScriptやNode.jsのライブラリをインストールするソフトウェア開発者を標的とした10個のパッケージをnpm上で発見しました。
これらは2025年7月初旬にアップロードされており、名前からも分かる通り、TypeScript、discord.js、ethers.jsなどの人気パッケージのタイポスクワット版がほとんどです。合計で9,900回ダウンロードされた後、プラットフォームから削除されました。
安全を守るには
以下が全リストです:
deezcord.js
dezcord.js
dizcordjs
etherdjs
ethesjs
ethetsjs
nodemonjs
react-router-dom.js
typescriptjs
zustand.js
この情報窃取マルウェアは、システムのキーチェーンやブラウザ、認証サービスから認証情報を収集するよう設計されていました。Windows、Linux、macOSを含む主要なプラットフォームすべてで動作します。
「このマルウェアは、ペイロードを隠すために4層の難読化を使用し、正規のように見せかけるため偽のCAPTCHAを表示し、IPアドレスで被害者を特定し、24MBのPyInstallerパッケージ化された情報窃取ツールをダウンロードします」とSocketのセキュリティ研究者Kush Pandya氏は説明しています。
Pandya氏はさらに、システムのキーチェーンは特に重要な標的であると説明しています。なぜなら、メールクライアントやクラウドストレージ同期ツール、パスワードマネージャー、SSHパスフレーズ、データベース接続文字列、OS認証情報ストアと連携する他のアプリの認証情報が保存されているためです。
「キーチェーンを直接標的にすることで、マルウェアはアプリケーションレベルのセキュリティを回避し、復号化された状態の認証情報を収集します。これらの認証情報により、企業のメール、ファイルストレージ、内部ネットワーク、プロダクションデータベースへの即時アクセスが可能になります。」
明らかに、上記のパッケージのいずれかをインストールした場合は、システムが完全に侵害されたものとして扱うべきです。リスクを軽減するためには、影響を受けたシステムをインターネットから切断し、SSHキー、APIトークン、GitHubまたはGitLabのアクセストークン、クラウドプロバイダーキー(AWS、GCP、Azure)、npmトークン、ブラウザやパスワードマネージャーに保存されている認証情報を含む、露出した可能性のあるすべての認証情報を無効化し、感染したシステムを消去・再構築し、すべてのパスワードを変更し、npmの依存関係やロックファイルを監査してください。
最後に、システムおよびネットワークのログを確認し、不審なアクティビティや未知のドメインへの外部接続がないか監査し、すべてのアカウントで多要素認証を有効にしてください。
