npmおよびGitHubリポジトリを通じて開発者を標的とする悪意のあるキャンペーンが明らかになりました。このキャンペーンでは、Ethereumスマートコントラクトを利用してコマンド&コントロール(C2)インフラを隠蔽するという異例の手法が用いられています。
このキャンペーンは7月初旬、ReversingLabsの研究者Karlo Zankiがnpm上で「colortoolsv2」というパッケージを発見したことで明るみに出ました。
このパッケージはすぐに削除されましたが、攻撃者は「mimelib2」という複製パッケージを公開することで作戦の継続を試みました。両パッケージとも、ブロックチェーンインフラを通じて第2段階のマルウェアペイロードを展開していました。
このキャンペーンの新たな特徴
悪意のあるnpmダウンローダーは定期的に現れますが、通常はパッケージ自体にURLやスクリプトが埋め込まれています。
これに対し、colortoolsv2およびmimelib2はEthereumスマートコントラクトを利用して、第2段階マルウェアを取得するためのURLを保存・配信していました。この手法により、悪意のあるインフラがパッケージファイル内ではなくブロックチェーンコード内に隠されていたため、検出が大幅に困難になりました。
「ダウンローダーは[…]毎週公開されていますが、スマートコントラクトを使って悪意のあるコマンドをロードする手法はこれまで見たことがありません」とRLの研究者は述べています。
「これは、オープンソースリポジトリや開発者を狙う悪意のある攻撃者による検出回避戦略の急速な進化を浮き彫りにしています。」
サイバーセキュリティにおけるスマートコントラクト悪用の詳細はこちら:サプライチェーン攻撃がC2オペレーションにスマートコントラクトを利用
トレーディングツールを装ったGitHubリポジトリ
ReversingLabsの調査員は、npmパッケージがGitHub全体に広がるより大規模なキャンペーンと関連していることも突き止めました。暗号通貨取引ボットとして偽装されたリポジトリは、数千のコミット、複数のメンテナー、アクティブなウォッチャーがいるなど、よく整備されているように見えました。
しかし、その多くの活動は偽装されたものでした。ReversingLabsによると、スターやウォッチャーは7月に作成されたアカウントから付与されており、それぞれの活動は最小限でした。さらに、パペットアカウントがメンテナーとして振る舞い、正当性を装い、フォークやコミットが人気の錯覚を生み出していました。
最も顕著な例は「solana-trading-bot-v2」というリポジトリで、悪意のあるnpmパッケージが同梱されていました。一見すると本格的なプロジェクトに見えましたが、詳しく調べると偽アカウントのネットワークが支えていることが判明しました。
オープンソースへの脅威の拡大
この発見は、暗号通貨関連の開発者を標的としたソフトウェアサプライチェーン攻撃の増加傾向に拍車をかけるものです。
ReversingLabsの2025年ソフトウェアサプライチェーンセキュリティレポートによると、2024年にはこのようなキャンペーンが23件発生しており、12月にはPyPIパッケージultralyticsが侵害され、コインマイナーが配布されました。
これらの事例は、攻撃者がオープンソースリポジトリとブロックチェーン技術の両方を悪用する手口が進化していることを浮き彫りにしています。ReversingLabsの研究者は、開発者はライブラリやメンテナーを慎重に精査し、スター数やダウンロード数といった表面的な指標だけに頼らないよう警告しています。
レポートは、デジタル資産と開発環境を守るためには警戒心とより強力なパッケージ評価ツールが不可欠であると結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/malicious-npm-packages-exploit/