StegaBinという新しいサプライチェーン攻撃が、26個の悪質なnpmパッケージを通じてJavaScript開発者をターゲットにしており、これらのパッケージは一般的なオープンソースライブラリに見えますが、実際には認証情報を盗むマルチステージツールキットとリモートアクセストロイの木馬(RAT)を密かに展開しています。
このキャンペーンは北朝鮮に関連するFAMOUS CHOLLIMA脅威アクターにリンクされており、暗号通貨とWeb3開発者に対する以前の「Contagious Interview」操作から知られています。
SocketのAIベースの検出が、2026年2月25~26日に公開された26個のnpmパッケージにフラグを立てました。それぞれが一時的なアカウントからプッシュされ、express、fastify、lodash、uuid、ioredis、jsonwebtoken、mqtt、kafkajs、およびその他の広く使用されているプロジェクトのなりすましを行っており、いくつかの「-lint」テーマ型開発ツールのなりすましも含まれています。
正当に見えるようにし、すぐには破損を回避するために、悪質なパッケージは、なりすましている本物のライブラリを依存関係として宣言することさえあり、インストーラーがバックグラウンドで実行されている間、被害者のプロジェクトは引き続きビルドされます。
26個すべてのパッケージは、vendor/scrypt-js/version.jsにある単一の悪質なファイルを共有しており、scripts/test/install.jsを指すnpmインストールフックを介して実行されます。
StegaBinキャンペーン
このローダーは高度に難読化されており、テキストステガノグラフィデコーダーを実装しており、無害に見えるコンピューターサイエンスエッセイを含む3つのPastebinペーストをプルし、その後、体系的に変更された文字から隠されたC2ドメインを抽出します。
デコードされた出力は、復元力のあるステージングインフラストラクチャとして使用される31個のVercelホスト型ドメインのリストであり、そのうち分析中にペイロードを実際に提供していたのは1つだけです。
そこから、マルウェアは、オペレーティングシステムごとのプラットフォーム固有のシェルペイロードを取得します。macOSとWindowsではcurlベース、Linuxではwgetベースで、すべてVercel C2エンドポイント経由でルーティングされます。
トークンゲート型ブートストラップが、必要に応じてNode.jsとPythonをインストール、または更新し、追加のparser.jsエージェントと依存関係をダウンロードし、初期スクリプトのトレースをワイプする前にバックグラウンドで実行します。
parser.jsコンポーネントは、103[.]106[.]67[.]63:1244のバックエンドサーバーに接続するライトウェイトRATとして機能し、コマンドを待機し、フォローアップペイロードを調整します。
悪質なnpmパッケージ
侵害されたホストをシミュレートすることで、研究者はC2が開発者ワークステーション向けにカスタマイズされた9モジュールの情報窃盗ツールキットを配信していることを観察しました。VSCodeの永続性、キーロギングとクリップボード盗難、ブラウザの認証情報収集、TruffleHogベースのシークレットスキャン、GitおよびSSH流出、および永続性のためのStegaBinローダーの再デプロイなどが含まれています。
version.jsはRC4文字列暗号化、配列回転、自己防衛型アンチデバッグ、および制御フロー平坦化により高度に難読化されています。
あるモジュールは、186スペースのホワイトスペーストリックでVSCode tasks.jsonを悪用し、フォルダを開くたびにVercel C2を呼び出す悪質なコマンドを隠し、macOS、Linux、およびWindows上の感染を静かに再確立します。
その他は、クロスプラットフォームキーロギングとクリップボード監視、主要なChromiumおよびGeckoベースのブラウザのブラウザデータ盗難、暗号ウォレットとシードフレーズの体系的スキャン、およびSSHキー、Gitトークン、およびリポジトリの一括盗難を実装しています。
このツーリングは以前のContagious Interviewの波と密接に一致しており、FAMOUS CHOLLIMAおよび暗号通貨とWeb3開発者環境への焦点の帰属を強化しています。
組織は、StegaBinをDPRK npmサプライチェーン攻撃の高度な進化として扱い、依存関係の衛生を強化し、疑わしいPastebinおよびVercelトラフィックをできるだけブロックし、開発者エンドポイントで異常なnpmインストールフック、VSCodeタスク変更、および103[.]106[.]67[.]63および関連インフラストラクチャへのアウトバウンド接続を監視する必要があります。
翻訳元: https://gbhackers.com/new-stegabin-campaign/
