2025年9月3日Ravie Lakshmananマルウェア / ソーシャルエンジニアリング
サイバーセキュリティ研究者は、イーサリアムブロックチェーンのスマートコントラクトを利用して侵害されたシステム上で悪意のある行為を実行する2つの新たな悪意のあるnpmパッケージを発見しました。これは、脅威アクターがマルウェアを配布し、検知を回避する新たな手法を常に模索している傾向を示しています。
「この2つのnpmパッケージは、悪意のあるコマンドを隠すためにスマートコントラクトを悪用し、侵害されたシステムにダウンローダーマルウェアをインストールしていました」とReversingLabsの研究者Lucija ValentićはレポートでThe Hacker Newsに共有しました。
これらのパッケージは、どちらも2025年7月にnpmにアップロードされ、現在はダウンロードできなくなっています。以下にリストします。
- colortoolsv2(7回ダウンロード)
- mimelib2(1回ダウンロード)
ソフトウェアサプライチェーンのセキュリティ企業によると、これらのライブラリはnpmとGitHubの両方に影響を与える大規模かつ巧妙なキャンペーンの一部であり、開発者を騙してダウンロード・実行させるものだとしています。
パッケージ自体は悪意のある機能を隠そうとしませんが、ReversingLabsは、これらのパッケージをインポートしたGitHubプロジェクトは信頼できるように見せかけるために工夫されていたと指摘しています。
これらのパッケージは、いずれかが使用されたり他のプロジェクトに組み込まれたりすると、攻撃者が管理するサーバーから次の段階のペイロードを取得して実行するという悪質な挙動を開始します。
これはマルウェアダウンローダーとしてはよくある手法ですが、特異なのはペイロードをホストするURLをイーサリアムのスマートコントラクトを使って管理している点です。これはEtherHidingを彷彿とさせる手法であり、脅威アクターが検知を回避するために新たな戦術を採用していることを示しています。
さらに調査を進めると、これらのパッケージは「リアルタイムのオンチェーンデータを活用して自動で取引を実行し、時間と労力を節約する」と謳うsolana-trading-bot-v2を名乗るGitHubリポジトリ群で参照されていることが判明しました。このリポジトリに関連付けられたGitHubアカウントはすでに利用できなくなっています。
これらのアカウントは、Stargazers Ghost Networkと呼ばれるディストリビューション・アズ・ア・サービス(DaaS)提供の一部と考えられています。これは、偽のGitHubアカウントの集団で、悪意のあるリポジトリにスターを付けたり、フォーク、ウォッチ、コミット、購読することで人気を人工的に高めていることで知られています。
それらのコミットの中にはcolortoolsv2をインポートするソースコードの変更も含まれています。他にもethereum-mev-bot-v2、arbitrage-bot、hyperliquid-trading-botといったリポジトリがnpmパッケージをプッシュしているのが確認されています。
これらのGitHubリポジトリの名前から、暗号通貨開発者やユーザーがこのキャンペーンの主な標的であり、ソーシャルエンジニアリングと詐欺を組み合わせていることが示唆されます。
「開発者は、開発サイクルに組み込む前に、検討している各ライブラリを評価することが極めて重要です」とValentićは述べています。「それは、オープンソースパッケージとそのメンテナーの両方の実態を明らかにすることを意味します。メンテナー数やコミット数、ダウンロード数といった表面的な数字だけでなく、そのパッケージや開発者が本当に提示している通りのものかどうかを見極める必要があります。」
翻訳元: https://thehackernews.com/2025/09/malicious-npm-packages-exploit-ethereum.html