コンテンツにスキップするには Enter キーを押してください

新たなフィッシングキャンペーンで高価値NPM開発者が侵害される

投稿日 2025年7月24日

新たなサプライチェーン攻撃により、メンテナーのアカウントが侵害され、人気のNPMパッケージを通じてマルウェアが配布されました。

先週初めて報告されたこの攻撃は、Node.jsパッケージレジストリを装ったタイポスクワッティングに依存したフィッシングメールから始まります。

攻撃者は「npnjs.com」にNPMウェブサイトの完全なコピーを作成し、複数の開発者に本物そっくりのメールを送り、ログイン認証情報の入力を促しました。

メールにはトークン化されたURLが含まれており、攻撃者はクリックを追跡したり、フィッシングサイトで被害者のデータを自動入力したり、NPMのログインプロセスを模倣する偽のセッションを生成したりできます。メッセージには正規のnpmjs.comサイトへのサポートリンクも含まれていました。

セキュリティ企業Socketが、週あたり合計3,400万ダウンロードを誇るパッケージのメンテナーに送信されたこのようなフィッシングメールを警告した直後、いくつかの人気NPMパッケージがこのフィッシングキャンペーンの一環として侵害されたと報告されました。

これらのパッケージ(eslint-config-prettier, eslint-plugin-prettier, napi-postinstall, @pkgr/core, およびsynckitなど)の悪意あるバージョンが、GitHub上での対応するコミットなしにレジストリに公開され、Windowsシステム上で悪意あるDLLを実行しようとしました。

「メンテナーは、npnjs.comのフィッシングメールによってNPMトークンが侵害されたことを確認しました。攻撃者は盗まれた認証情報を使って、GitHubリポジトリには手を加えずに複数のパッケージの悪意あるバージョンを公開し、攻撃の発見を困難にしました」とSocketは指摘しています。

PrettierやESLintの統合は数千のプロジェクトで利用されており、今回の侵害の影響は壊滅的になる可能性があります。配布されたマルウェアは削除が困難であると報告されています。

広告。スクロールして続きをお読みください。

その後まもなく、ソフトウェアエンジニアのJordan Harband氏は、週あたり200万以上ダウンロードされている「is」パッケージも侵害されたと警告しました。このパッケージは完全なクロスプラットフォーム対応で、Windows、Linux、macOSで動作するため、攻撃者が影響範囲の拡大を狙っていた可能性が示唆されます。

「古いオーナーが何らかの方法でNPMパッケージから削除され、再追加を依頼するメールが届きました。すべて正常に見えたので(NPMが他のオーナーに通知せずにオーナーを削除することに苛立ちつつ)応じましたが、翌朝これが公開されていました」と彼は説明しています。

週あたり2万以上ダウンロードされているgot-fetchパッケージも、このキャンペーンの一環として侵害されたとSocketは述べています

DeceptIQの創設者兼CEOであるRad Kawar氏によると、攻撃者はパッケージのメタデータから開発者のメールアドレスを抽出し、必要なインフラを構築し、サプライチェーン攻撃で使用するローダーと認証情報窃取ツールを作成した可能性が高いとのことです。

Kawar氏は説明しており、攻撃者はNPMの認証メカニズムを悪用してログインリンクを生成し、有効期限のないアクセストークンを盗んだ可能性が高いと指摘しています。開発者は、要求されたトークンが別のマシンで要求されたことについて通知を受けません。

カナダのサイバーセキュリティスタートアップInvoke REによると、eslint-config-prettierに注入された悪意あるコードはローダーであり、パッケージ実行時にScavengerマルウェアが展開されることにつながりました。

ローダーは悪意あるパッケージがレジストリに公開されたのと同じ日にコンパイルされており、さまざまな解析回避・検知回避技術が含まれていました。

ローダーは、コマンド&コントロール(C&C)サーバーからペイロードを要求していることが確認されており、これはChromium系ブラウザを標的とした情報窃取型マルウェアであることが判明しました。

Scavengerと名付けられたこのマルウェアは、ブラウザ拡張機能に関連する情報、ServiceWorkerCacheやDawnWebGPUCacheからのキャッシュデータ、ブラウザの履歴を抽出します。また、Chromeのセキュリティ警告を無効化することもできると報告されています。

関連記事: Expressユーティリティに偽装した悪意あるNPMパッケージがシステム消去を可能に

関連記事: 進行中のキャンペーンで60のNPMパッケージを用いてデータ窃取

関連記事: 人気スクレイピングツールのNPMパッケージがサプライチェーン攻撃で侵害

関連記事: 悪意あるNPMパッケージがCursor AIのmacOSユーザーを標的に

翻訳元: https://www.securityweek.com/high-value-npm-developers-compromised-in-new-phishing-campaign/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です