脅威アクターが自己増殖型ワームを含む数万件の悪意あるNPMパッケージを公開していると、セキュリティ研究者が警告しています。
最近のNPMへのサプライチェーン攻撃とは異なり、このキャンペーンで使用されたコードは認証情報やデータを盗むのではなく、スパム目的でエコシステムを悪用しています。
このマルウェアを「IndonesianFoodsワーム」と呼ぶSourceCodeRedは、インドネシアの名前や食品名を使った命名規則で名付けられた11のアカウントに関連する43,900件以上の悪意あるNPMパッケージを特定しました。
悪意あるコードはランダムな名前を生成し、package.jsonファイルを修正してパッケージを公開状態にし、ランダムなバージョン番号を追加し、NPMレジストリにパッケージを公開するよう設計されています。
SourceCodeRedによると、このコードは同じ手順を無限ループで繰り返し、7秒ごとに新しいパッケージを公開してNPMレジストリを絶えずスパムしています。
「これによりNPMレジストリがジャンクパッケージであふれ、インフラリソースが無駄になり、検索結果が汚染され、開発者が誤ってこれらの悪意あるパッケージをインストールした場合にサプライチェーンリスクが生じます。マルウェアは正規のNext.jsアプリケーションを装って検出を回避しています」とSourceCodeRedは指摘しています。
この活動はJFrogでも観測されており、同様のランダムな名前生成スキームで名付けられた80,000件以上の自己増殖型パッケージが特定されています。名前や食品を含むカスタムワードリストに加え、形容詞、色、動物名も辞書として使用されています。
このキャンペーンをBig Redと名付けたJFrogによると、マルウェアは被害者ユーザーの保存されたNPM認証情報を再利用して、新たに生成したパッケージを高速でレジストリに公開しています。
「その結果、npmエコシステムに大量の表面的には正規に見えるパッケージを氾濫させる、タイトで完全自動化されたループが生まれます。これらはすべて同じコードテンプレートから派生し、ランダム化されたメタデータのみで区別されます」とJFrogは指摘しています。
8万件の悪意あるパッケージは18のユーザーアカウントで公開されており、自己増殖型の公開ロジックのみが含まれています。
このキャンペーンの正確な目的は不明ですが、JFrogは「同じインフラと命名規則を使い、自己増殖型コードによる本物の悪意あるペイロードを配信する将来のキャンペーンの予行演習である可能性がある」と推測しています。
