調査会社Zscaler ThreatLabzによる最近の調査で、暗号資産(仮想通貨)分野の人々を狙った巧妙な新たな罠が見つかりました。2025年11月、研究者は、開発者が日常的にアプリを構築するために利用する巨大な公開ライブラリであるNPMに潜む3つの悪意あるソフトウェアパッケージを発見しました。
これらのファイルは単なる不具合ではなく、研究者がNodeCordRATと名付けた特定のウイルスを配布するために設計されていました。これは基本的にリモートアクセス型トロイの木馬(RAT)で、第三者があなたのコンピュータにバックドアから侵入し、行動を監視したりファイルを盗んだりできるようにします。
欺瞞の連鎖
調査の過程で、攻撃者はマルウェアをアップロードするだけでなく、検知を回避するためのファイルの連鎖も作っていたことが指摘されました。彼らは、正規のbitcoinjsプロジェクトにある本物の信頼できるツールとほぼ同一に見える名前を使用していました。研究者によると、攻撃者(メールアドレス[email protected]に紐づく人物)は、次の3つの特定パッケージをアップロードしました。
- bip40(約958回ダウンロード)
- bitcoin-lib-js(約183回ダウンロード)
- bitcoin-main-lib(約2,286回ダウンロード)
さらに調査を進めると、開発者が最初の2つのパッケージをインストールしようとした際、隠しスクリプトが自動的に3つ目のbip40を取り込み、そこに実際のウイルスが含まれていることが判明しました。この一連の処理はバックグラウンドで自動的に行われ、ユーザーには「はい/いいえ」のポップアップや警告は一切表示されません。
「bip40は単体パッケージとしてダウンロードすることも可能で、他のライブラリを完全に回避できます。開発者を欺いて不正なパッケージをダウンロードさせるため、攻撃者は正規のbitcoinjsプロジェクト内にある実在のリポジトリの名称バリエーションを使用しました」と、Zscalerのブログ投稿には記されています。
Discord経由で制御
この攻撃を独特かつ深刻なものにしているのは、ハッカー側へ「応答」する仕組みです。Discordは主にゲームやチャットに使われますが、これらのハッカーは、プライベートなDiscordチャンネルに簡単なテキストコマンドを送ることで、Discordをリモコンのように利用しました。これにより、ハッカーは感染したコンピュータに対して、何をすべきかを正確に指示できました。
研究者はさらに、このウイルスが特定の短縮コマンドに反応することも指摘しています。例えば、!runコマンドはシェルコマンドの実行を可能にし、攻撃者は任意のコードを実行できます。一方、!screenshotはデスクトップのスクリーンショットを撮影し、!sendfileはハードドライブ上の任意のファイルを選んで攻撃者のチャットへ直接アップロードできるようにします。
狙いは何か
NodeCordRATは、保存されたパスワードやログイン情報などのChromeデータ、暗号資産ウォレット(特にMetaMaskのシードフレーズとデジタルキー)、そしてAPIシークレットを含むChromeデータを狙い撃ちします。これには、企業がウェブサイト運用のために使用する隠しファイル(.envファイルなど)も含まれます。
なお、これらのパッケージはその後NPMストアから削除されたものの、ダウンロードした数千人にとっては既に被害が発生している可能性があります。暗号資産や開発分野で働いている場合は、最近のダウンロードにこれらの特定の名前が含まれていないか確認するのがよいでしょう。
翻訳元: https://hackread.com/discord-nodecordrat-steal-chrome-data-npm-packages/
