2025年8月7日Ravie Lakshmananマルウェア / 脅威インテリジェンス
サイバーセキュリティ研究者は、リモートサーバーから追加のペイロードをダウンロードし、WindowsおよびLinuxシステムの両方で実行するよう設計された、11個の悪意のあるGoパッケージを発見しました。
「実行時にコードは密かにシェルを起動し、.icuおよび.techのコマンド&コントロール(C2)エンドポイントから交換可能な第2段階のペイロードを取得してメモリ上で実行します」とSocketのセキュリティ研究者Olivia Brownは述べています。
特定されたパッケージのリストは以下の通りです –
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
これらのパッケージは難読化されたローダーを隠しており、第2段階のELFおよびポータブル実行可能(PE)バイナリを取得する機能を持っています。これにより、ホスト情報の収集、ウェブブラウザデータへのアクセス、C2サーバーへのビーコン送信が可能となります。
「第2段階のペイロードはLinuxシステム向けにはbashスクリプトのペイロードを配信し、Windows向けにはcertutil.exeを介して実行ファイルを取得するため、LinuxのビルドサーバーとWindowsワークステーションの両方が侵害のリスクにさらされています」とBrownは述べています。
事態を複雑にしているのは、Goエコシステムの分散型の性質です。これにより、モジュールがGitHubリポジトリから直接インポートできるため、pkg.go.devでパッケージを検索した際に、同じような名前のモジュールが複数表示され、必ずしも悪意があるとは限らないものの、開発者の混乱を招いています。
「攻撃者はこの混乱を悪用し、信頼できそうに見えるように悪意のあるモジュール名空間を慎重に作成することで、開発者が意図せず破壊的なコードをプロジェクトに組み込んでしまう可能性を大幅に高めています」とSocketは述べています。
C2の再利用やコードのフォーマットから、これらのパッケージは単一の脅威アクターによるものと考えられています。この発見は、Goのクロスプラットフォーム性がマルウェア配布の継続的なサプライチェーンリスクを生み出していることを強調しています。
この動きは、WhatsAppソケットライブラリを装いながら、電話番号ベースのキルスイッチを組み込み、開発者のシステムをリモートで消去できる2つのnpmパッケージ、naya-floreとnvlore-hscの発見とも重なります。
これらのパッケージは合計で1,110回以上ダウンロードされており、執筆時点でもnpmレジストリで入手可能です。両ライブラリは2025年7月初旬に「nayflore」というユーザーによって公開されました。
これらのパッケージの中心的な動作は、GitHubリポジトリからインドネシアの電話番号のリモートデータベースを取得する能力です。パッケージが実行されると、まず現在の電話番号がデータベースにあるかを確認し、なければWhatsAppのペアリングプロセス後に「rm -rf *」コマンドで全ファイルを再帰的に削除します。
また、これらのパッケージにはデバイス情報を外部エンドポイントに流出させる関数も含まれていますが、その関数の呼び出しはコメントアウトされており、このスキームの背後にいる脅威アクターが開発を継続していることを示唆しています。
「naya-floreには、プライベートリポジトリへの不正アクセスを可能にするハードコードされたGitHubパーソナルアクセストークンも含まれています」とセキュリティ研究者Kush Pandyaは述べています。「このトークンの目的は、現時点で入手可能なコードからは不明です。」
「未使用のGitHubトークンの存在は、開発が未完了であること、実装されなかった予定機能があること、またはこれらのパッケージに含まれていないコードベースの他の部分で使用されていることを示している可能性があります。」
オープンソースリポジトリは、ソフトウェアサプライチェーンにおけるマルウェア配布チャネルとして依然として魅力的であり、これらのパッケージは機密情報の窃取や、場合によっては暗号通貨ウォレットを標的とするよう設計されています。
「全体的な戦術は大きく進化していませんが、攻撃者はファイル数の最小化、インストールスクリプトの使用、目立たないデータ流出手法など、実証済みのテクニックに引き続き依存しており、その影響を最大化しています」とFortinet FortiGuard Labsは述べています。
「難読化の増加は、これらのサービス利用者に求められる警戒心と継続的な監視の重要性をさらに強調しています。そしてOSS(オープンソースソフトウェア)が成長し続けるにつれ、サプライチェーン脅威の攻撃対象領域も拡大していくでしょう。」
翻訳元: https://thehackernews.com/2025/08/malicious-go-npm-packages-deliver-cross.html