コンテンツにスキップするには Enter キーを押してください

悪意のあるnpmパッケージがマルウェア配布にEthereumブロックチェーンを利用

投稿日 2025年9月4日

Ethereumスマートコントラクトが、悪意のあるGitHubリポジトリによって引き起こされる攻撃チェーン内で、二次的なマルウェアペイロードへのURLを隠すために使用された。

最近発生したサプライチェーン攻撃の背後にいる攻撃者は、不正なGitHubリポジトリとnpmパッケージを利用し、Ethereumブロックチェーン上のスマートコントラクトを使ってマルウェアのペイロードを配布しました。これらの攻撃は、暗号通貨分野のユーザーや開発者を標的にしていた可能性が高いです。

「脅威アクターによるこれら最新の攻撃は、ブロックチェーンやGitHubを利用した高度な攻撃の作成を含み、リポジトリに対する攻撃が進化していることを示しています。開発者や開発組織は、正規のアプリケーションに悪意のあるコードを埋め込む試みや、機密性の高い開発資産へのアクセス、機密データやデジタル資産の窃取に警戒する必要があります」とReversingLabsの研究者は攻撃に関するレポートで述べています。

Ethereumスマートコントラクトを使って二次的なマルウェアペイロードのURLを隠す手法は、npmパッケージ内の不審なURLやコマンドをスキャンするセキュリティツールを回避するために行われた可能性があります。

GitHubキャンペーンの難読化レイヤーとしてのnpm

ReversingLabsの研究者は、2023年7月にEthereumスマートコントラクトを使ってマルウェアを配布する2つの不正なnpmパッケージcolortoolsv2mimelib2を発見しました。しかし、これらのパッケージは、通常サプライチェーン攻撃で目指されるような、開発者がプロジェクトに組み込みたくなるような正当性や魅力を持たせる工夫はほとんどされていませんでした。

colortoolsv2パッケージと、その後置き換えられたmimelib2パッケージには、悪意のある機能を実装するために必要なファイルのみが含まれていました。研究者が後に判明したところによると、これはこれらのパッケージがより大規模な協調キャンペーンの一部であり、その目的はユーザーを騙して偽のGitHubリポジトリからコードを実行させ、その際にnpmパッケージが依存関係として自動的にダウンロードされるようにすることでした。

不正なGitHubリポジトリは、自動化された暗号通貨取引ボット用であると偽り、正当なものに見せかけて作られていました。複数のアクティブなコントリビューター、数千回のコミット、複数のスターがあるように見せかけていましたが、これらはすべてnpmパッケージが登場した時期に作成されたなりすましアカウントによる偽装でした。

「大量のコミットとその内容を調査したところ、コードのコントリビューターも偽物であり、実際のコミット数も水増しされていることがすぐに明らかになりました」と研究者は述べています。「実際には数千件のコミットがあり、その数は毎日数千件ずつ増えています。これは、攻撃者が自動コミットプッシュ用のインフラを構築していることを示しています。」

ほとんどのコミットは、プロジェクトのLICENSEファイルの削除と追加に関するものでした。ごくわずかな正当なコミットは、リポジトリのコードが実行された際に不正なnpmパッケージを依存関係としてダウンロード・実行するための変更でした。

npmパッケージにはEthereumブロックチェーンに接続するコードが含まれており、これは一見すると暗号通貨ライブラリとしては珍しくありません。しかし、実際にはEthereumスマートコントラクトに保存されたURLを取得し、それにアクセスしてマルウェアペイロードをダウンロードするためのものでした。Ethereumスマートコントラクトとは、特定の条件が満たされたときに自動的に実行されるブロックチェーン上の小さなプログラムです。

「このキャンペーンが示すように、開発者は導入を検討している各ライブラリを、開発サイクルに組み込む前に必ず評価することが重要です」と研究者は述べています。「それは、オープンソースパッケージとそのメンテナーの両方の実態を調べることを意味します。単なるメンテナー数、コミット数、ダウンロード数だけでなく、そのパッケージや開発者が本当に自分たちが主張する通りの存在なのかを見極める必要があります。」

このキャンペーンに関連する不正なnpmパッケージや、少なくとも1つのGitHubリポジトリ(solana-trading-bot-v2)は削除されましたが、攻撃者は経験豊富であり、今後も新たなものを立ち上げる可能性が高いです。

暗号通貨関連アプリの開発者は、オープンソースパッケージリポジトリを介したソフトウェアサプライチェーン攻撃の標的となることが増えています。昨年、ReversingLabsは、暗号通貨関連の開発者やユーザーを狙った悪意のあるコードがオープンソースリポジトリにアップロードされた32件の攻撃キャンペーンを検知しました。

ニュースレターを購読する

編集部からあなたの受信箱へ

下記にメールアドレスを入力して開始してください。

翻訳元: https://www.csoonline.com/article/4050956/malicious-npm-packages-use-ethereum-blockchain-for-malware-delivery.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です