TokyoBlackHatNews

gbhackers.com 4分で読了

難読化されたペイロードでブラウザ認証情報を盗むためにユーザーを悪用する「G_Wagon」NPMパッケージ

正規のnpm UIコンポーネントライブラリを装った高度に洗練された情報窃取型マルウェアが、ansi-universal-uiパッケージを通じて開発者を標的にしていました。

内部的に「G_Wagon」と識別されるこのマルウェアは、多段階の難読化手法を用いて、感染したシステムからブラウザの認証情報、暗号資産ウォレット、クラウド認証キー、メッセージングトークンを抽出します。

「現代のWebアプリケーション向けの軽量でモジュール式のUIコンポーネントシステム」を名乗っているにもかかわらず、このパッケージには正当なUI機能が一切含まれていません。

セキュリティ研究者は、2026年1月23日 08:46(UTC)にこの悪意あるパッケージを初めて検出しました。

その代わりに、独自の実行環境をダウンロードし、機密性の高いユーザーデータを侵害するよう設計された強力に難読化されたペイロードを実行する、Pythonベースの情報窃取ツールを配布します。

攻撃者の手口

パッケージのバージョン履歴を分析すると、異例なほどの高度さと反復的な開発が明らかになります。

v1.2.0では興味深い変更が行われました。npmのtar依存を削除し、代わりにシステムのtarコマンドを直接起動する方式に切り替えています。

Image
テスト段階(出典:aikido)。

1月21日から1月23日の間に、脅威アクターは10個のバージョンを公開しており、それぞれが攻撃インフラの段階的な改善を示しています。

初期バージョンには実行チェーンをテストするためのプレースホルダーコードしか含まれていませんでしたが、その後のリリースでは、アンチ・フォレンジック機能、16進数でエンコードされたC2(コマンド&コントロール)URL、メモリ上のみでのペイロード実行が追加されました。

Image
進化を続ける:v1.4.x(出典:aikido)。

バージョン1.4.0は、回避技術における重要な進化を示しました。セキュリティツールに検知され得るディスク上へPythonペイロードをダウンロードするのではなく、マルウェアはリモートサーバーからbase64エンコードされたコードを取得し、メモリ上でデコードしたうえで、stdin経由でPythonインタープリタに直接パイプするようになりました。

このパッケージは、二重実行を実現する巧妙な自己依存トリックを用います。package.jsonで自分自身を依存関係として列挙することで、インストール中にpostinstallフックが2回実行され、侵害が成功する可能性が高まります。バージョン1.3.7では、実行後にペイロードを削除するクリーンアップコードが追加されました:

Image
アンチ・フォレンジック(出典:aikido)。

脅威アクターはログメッセージも正規に見えるように整え、「Setting up Python environment」を「Initializing UI runtime」に変更しました。

データ窃取能力

G_Wagonスティーラーは、広範な機密情報を標的にします。WindowsおよびmacOSプラットフォームの両方で、Chrome、Edge、Braveブラウザから認証情報を抽出します。

Windowsシステムでは、ブラウザプロセスを終了させ、Chrome DevTools Protocolを使用してCookieを収集するとともに、Windows Data Protection APIを通じて保存済みパスワードを復号します。

さらに詳しく

サイバーセキュリティ

サイバー攻撃の防止

サイバーセキュリティニュースプラットフォーム

情報セキュリティ

ペネトレーションテストツール

エクスプロイト

サイバーセキュリティ

エクスプロイト緩和ソリューション

クラウドベース

脅威インテリジェンスプラットフォーム

暗号資産ウォレットの窃取が主目的です。このマルウェアは、MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Ledger Live、Exodusを含む、100以上のブラウザウォレット拡張機能を標的にします。

Ethereum、Solana、Cosmos、Polkadot、Cardano、その他多数のブロックチェーンエコシステムにまたがるウォレットについて、拡張機能のデータディレクトリ全体をコピーします。

クラウド認証情報も重要な標的の一つです。スティーラーは、AWS CLI、Azure CLI、Google Cloud SDKの認証情報ファイルに加え、SSH鍵やKubernetes設定ファイルをコピーします。

Discordトークン、Telegramのデータディレクトリ、Steamの認証ファイルも対象範囲に含まれます。

盗まれたデータは圧縮され、NYCおよびフランクフルトのサーバーでホストされるAppwriteのストレージバケットにアップロードされます。大きなファイルについては、確実な送信のためにデータを5MB単位に分割します。

コードには、より深いシステムアクセスのためにNTネイティブAPIを用いてブラウザプロセスへ注入される、埋め込みのWindows DLLまで含まれています。

影響を受けたユーザーは直ちにansi-universal-uiを削除し、ブラウザに保存されたすべてのパスワードを変更し、暗号資産ウォレットの認証情報を失効させ、クラウドサービスのキーを再生成し、メッセージングアプリケーションのセッションを無効化してください。

翻訳元: https://gbhackers.com/g_wagon-npm-package/

ソース: gbhackers.com
#ansi-universal-ui #G_Wagon #npmマルウェア #postinstallフック悪用 #クラウド認証情報(AWS/Azure/GCP) #サプライチェーン攻撃 #ブラウザ認証情報窃取 #情報窃取(インフォスティーラー) #暗号資産ウォレット窃取 #難読化ペイロード

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚