ニュース
2025年7月24日5分
マルウェアオープンソースサプライチェーン
パッケージメンテナーのアカウントへのフィッシング攻撃により、JavaScript型テストユーティリティが感染。
新たに発見されたサプライチェーン攻撃において、攻撃者は先週、npmでホストされている複数のJavaScript型テストユーティリティを標的とし、そのうちいくつかがマルウェア配布のために侵害されました。
これらのパッケージを自動的にダウンロードした人は、クリーンなバージョンがインストールされるまで、バックドア型サプライチェーン攻撃にさらされていました。
例えば7月19日には、攻撃者が人気のあるis npm JavaScript型テストユーティリティにマルウェアを仕込み、6時間にわたり気付かれませんでした。この悪い知らせは、メンテナーのJordan HarbandがBlueskyの投稿で伝えました。
「npmjs.com/is のv3.3.1にマルウェアが含まれています。別のメンテナーのアカウントが乗っ取られたためです」と彼は書いています。
感染したバージョンはnpm管理者によって削除され、v3.3.0が最新として復元されました。その後、バージョン3.3.2が公開され、別の不正なバージョン5.0.0も削除されました。
「古いオーナーがnpmパッケージからなぜか削除され、再追加してほしいとメールが来ました。すべて普通に見えたので対応しました(npmが他のオーナーに通知せずオーナーを削除したことに苛立ちました)。翌朝、[感染バージョンが]公開されていました」とHarbandは書いています。
isユーティリティは、実行時の外部データ検証やエラーチェックを提供します。オンラインで感染バージョンのisにアップデートしたパッケージがどれほどあるかは不明ですが、現在週に約280万回ダウンロードされていることから、攻撃者にとって魅力的な標的であることがうかがえます。
なりすましメール
残念ながら、同じキャンペーンは他の人気JavaScript型テストライブラリにも同様のフィッシング手法で攻撃を仕掛けており、研究者によって現在Scavengerと名付けられています。
サプライチェーン防御ベンダーSocketによると、影響を受けたパッケージにはeslint-config-prettier, eslint-plugin-prettier, synckit@0.11.9, @pkgr/core@0.2.8, napi-postinstall@0.3.1, got-fetchなどが含まれていました(出典)。
フィッシングメールは、正規のnpmjs.orgと紛らわしいタイポスクワットドメインnpnjs.orgからメンテナーを標的にしていました。
狩場
Scavengerキャンペーンは、より大規模なサプライチェーンの混乱の一部として、複数の場所で同時に起きている複数の事象の総体です。この種のパズルのピースを組み合わせるには数日かかり、攻撃者は当然それを見越しています。
明らかな問題は、古典的なフィッシングによってメンテナーアカウントをソーシャルエンジニアリングし、乗っ取る余地が大きいことです。メンテナーの重要性を考えると、npmパッケージを利用する誰にとってもこれは懸念材料です。さらに悪いことに、ScavengerマルウェアはVirusTotalのほとんどのアンチマルウェアクライアントで見逃されていました。
マルウェアキャンペーンの実行者がサプライチェーンへの侵入を強く望み、npmを格好の狩場と見なしているのは明らかです。Scavengerは、攻撃者がパッケージを侵害した際に仕込むマルウェアが強力であることを示しています。
「npmのisパッケージ攻撃は、Windows固有のDLLだけの問題ではありませんでした。クロスプラットフォームのJavaScriptマルウェアローダーが使われました。このJavaScriptはNode.js 12+上でmacOS、Linux、Windowsすべてで完全に動作し、常時コマンド&コントロール(C2)チャンネルを開いたままにします」と、サウスフロリダ大学のサイバー犯罪・サイバーセキュリティ専門家Tom Hyslip氏は指摘します。
では、なぜnpmパッケージなのでしょうか?フィッシング対策ベンダーCofenseのMax Gannon氏によると、パッケージメンテナーは広範な権限を持つアカウントの好例であり、攻撃者にとって魅力的な標的だといいます。
「1つの企業を侵害しても見返りが不確実ですが、1人の開発者を侵害すれば、そのマルウェアが何百、何千もの他社に広がる可能性があります」とGannon氏は述べています。
「開発者を侵害するのに10倍の時間がかかったとしても、その見返りは同じ時間で10社を侵害するよりもはるかに大きくなり得ます」と彼は指摘します。
対策
Hyslip氏によれば、メンテナーアカウントに多要素認証(MFA)を義務付けることに加え、開発者はpackage-lock.jsonを使って依存関係を固定し、開発者が気付かないうちに悪意あるアップデートが依存ツリー全体に適用されるのを防ぐべきです。また、インストール済みバージョンを追跡し、既知のセキュリティ脆弱性と関連付けるツールを使うのも有効だと述べています。
インストール前にパッケージを分析するツールを使ったり、証明書やパッケージバージョンを他のリポジトリと照合したりすることもできます。npmやパッケージプラットフォームが標的となっている現状では、開発者は新しいバージョンを審査せずに自動インストールすべきではありません。特にnpmは、最も標的とされるパッケージ配布プラットフォームのリストに頻繁に登場しています。例えば5月にはSocketが60個の悪意あるnpmパッケージを発見し、6月にはさらに2つの破壊的なパッケージがバックドアをインストールすることが判明しました。
アップデートされたパッケージを確認するために立ち止まることは、長年の習慣に反するとGannon氏は指摘します。「安全なソフトウェア分野での長年の格言は早くパッチを当て、頻繁にパッチを当てるでした。これが残念ながら[パッケージプラットフォーム]をサプライチェーン攻撃に特に脆弱にしています。」
ニュースレターを購読する
編集部からあなたの受信箱へ
下にメールアドレスを入力して始めましょう。
John E. Dunnはベテランのサイバーセキュリティ記者で、危機対応、ランサムウェア、データ漏洩、暗号化、量子コンピューティングとQKD、DevSecOps、マネージドサービス、教育分野のサイバーセキュリティ、小売業のサイバーセキュリティ、脆弱性報告、サイバーセキュリティ倫理を専門としています。
Johnはイギリス版Personal Computer Magazine、LAN Magazine、Network Worldの元編集者です。2003年にTechworldを共同設立して以来、Computerworld、Forbes、Naked Security、The Register、The Timesなどでサイバーセキュリティやビジネスコンピューティングについて執筆しています。
この著者の他の記事
英国、ロシアの悪名高い「ファンシーベア」グループをMicrosoftクラウドハックの犯人と断定
2025年7月21日 4分
フィッシングキャンペーンがCloudflare Tunnelsを悪用しマルウェアをファイアウォールの裏へ潜り込ませる
2025年6月19日 4分
M&S、4月のサイバー攻撃への対応としてデジタルトランスフォーメーション計画を加速へ
2025年5月21日 2分
Google、アカウント乗っ取りとMFA回避に使われたChromeの脆弱性を修正
2025年5月15日 4分
新EU脆弱性データベースはCVEプログラムを補完、競合しないとENISAが説明
2025年5月13日 5分
セキュリティアップデートがWindows Hello for Business認証に新たな問題を引き起こす
2025年5月7日 4分
Mike Waltzが使用した改造Signalアプリの開発企業がハッキング被害か
2025年5月5日 5分
ロシアAPT28ハッカー、ウクライナ戦争中に活動を倍増と仏セキュリティ機関が指摘
2025年4月30日 4分
もっと見る