サイバーセキュリティ研究者によって、広く使用されているnodemailerライブラリになりすました新たな悪意のあるnpmパッケージが発見されました。
このパッケージ「nodejs-smtp」は、メール送信機能を持つだけでなく、デスクトップの暗号通貨ウォレットにコードを注入し、取引を攻撃者が管理するウォレットに密かにリダイレクトしていました。
nodejs-smtpをインポートすると、Electronツールを利用してWindows上のAtomic Walletを改ざんしました。このパッケージはアプリのアーカイブを展開し、ベンダーファイルを悪意のあるコードに置き換え、アプリケーションを再パッケージ化し、その過程の痕跡を削除していました。
ウォレット内でアクティブになると、ペイロードは取引時に受取人アドレスを攻撃者が設定したアドレスに上書きしました。これにより、ビットコイン(BTC)、イーサリアム(ETH)、テザー(USDT)、TRX(USDT)、XRP、ソラナ(SOL)が盗まれる可能性がありました。
この脅威を発見したSocketの脅威調査チームによると、パッケージはメール送信機能を維持していたため、その機能的なカバーによって悪意のある動作が隠されていました。アプリケーションをテストする開発者は通常、期待通りの結果を目にするため、依存関係を疑うことは少なかったといいます。
暗号通貨ウォレットのセキュリティについて詳しくはこちら:AI搭載マルウェアによるデータと暗号資産の窃取に悪用されたnpmパッケージ
このパッケージは「nikotimon」という別名で公開され、登録メールアドレスはdarkhorse.tech322@gmail[.]comに紐づいていました。Socketの研究者によると、攻撃者はまだ多額の資金を得ていないようですが、これはキャンペーンが最近始まったためと考えられます。しかし、ツールは「意図的で、再利用可能かつ拡張性がある」と警告しています。
Socketはnpmセキュリティチームに対し、パッケージの削除と関連アカウントの停止を要請し、すでに対応が完了しています。
なぜ開発者がリスクにさらされるのか
Socketが公開した時点で、この悪意のあるパッケージのダウンロード数はわずか342回でしたが、nodemailerは週に390万回ダウンロードされています。
しかし、説得力のある名前、コピーされたスタイリング、ほぼ同一のREADMEにより、プレッシャー下の開発者が本物のライブラリと誤認しやすくなっていました。このリスクは、もっともらしいが誤ったパッケージ名を提案するAIコーディングアシスタントによってさらに高まります。
開発者がうっかりnodejs-smtpを選んでしまう主な理由は以下の通りです:
-
「nodejs smtp example」などの検索クエリを使う
-
最初に一致したスニペットやパッケージ名をそのまま使う
Socketの研究者は、このキャンペーンがたった一つのインポートで開発者のワークステーション上の無関係なアプリケーションを改変できることを示していると強調しました。インポート時の実行とElectronの操作を組み合わせることで、一見無害なメーラーがウォレットドレイナーに変貌したのです。
チームは、今後この種の攻撃が増加し、イーサリアムやソラナだけでなく、TRON、TON、その他のチェーンにも影響が及ぶと予測しています。Socketは、プルリクエストをスキャンし、インストール時に不審な依存関係をブロックし、なりすましパッケージを警告するセキュリティツールの利用を開発者に推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/malicious-npm-package-email-library/