最近の「StegaBin」キャンペーンは、26個の悪意のあるnpmパッケージを利用して多段階の認証情報盗難作戦を展開しているため、開発者コミュニティ内で深刻な懸念が高まっています。
SocketのAI搭載型脅威検出システムによって特定されたこれらのパッケージは、一見無害なテキスト内にコマンドアンドコントロール(C2)インフラストラクチャを隠すために新しい手法を使用しています。
文字レベルステガノグラフィとして知られるこの方法により、攻撃者は悪意のあるペイロードを隠蔽でき、検出がより困難になります。
2026年2月間に2日間かけて公開されたこれら26個のnpmパッケージは、JavaScriptエコシステムで広く使用されている人気のあるライブラリのタイポスクワットです。
多くのパッケージは合法的に見え、express、lodash、jsonwebtokenなどの有名なパッケージを模倣しています。パッケージは疑わしさなくインストールするように設計されており、これは攻撃者が開発者を標的とするための理想的なベクトルです。
このキャンペーンを特に革新的にしているのは、Pastebin型のデッドドロップリゾルバーの使用です。悪意のあるnpmパッケージは、Pastebinでホストされているテキストファイル内に隠されたC2インフラストラクチャに解決されます。
文字レベルの置換を適用することにより、攻撃者はC2 URLをエンコードしているため、無害なコンピュータサイエンスエッセイとして見えます。
これらのURLはインストール中にデコードされ、感染したマシンをVercelでホストされているドメインセットに誘導し、最終的にmacOS、Linux、Windowsを含むさまざまなプラットフォームにシェルペイロードをデプロイします。
ペイロードの主な機能は、リモートアクセストロイの木馬(RAT)と情報盗難ツールキットをデプロイすることです。
デプロイされると、情報盗難ツールは被害者のマシンからSSHキー、Git認証情報、ブラウザに保存されたシークレット、クリップボード内容を含む幅広い機密データを対象とします。
これは開発者を直接狙った多面的な攻撃であり、ペイロードは開発環境の重要な認証情報を盗みます。
実行時に、マルウェアは開発者環境を標的にするために設計された9モジュールの情報盗難ツールキットをダウンロードします。
モジュールには、SSHキーを流出させる、Gitリポジトリデータ、ブラウザ認証情報、暗号化ウォレット情報を盗む機能が含まれています。マルウェアはキーロガー、クリップボードスティーラー、およびソースコード内のシークレットを検出するためのTruffleHogスキャナーもデプロイしています。
盗まれた認証情報は攻撃者のC2サーバーに送信され、収集と流出が行われます。
FTP流出とファイル検索機能を含むこのツールキットの汎用性により、攻撃者は操作のさまざまな段階で機密データを継続的に収集できます。
直接的な認証情報盗難に加えて、キャンペーンはVSCode設定を介した継続的な感染の手法も採用しています。
ホワイトスペース操作を巧妙に使用することで、開発者がVSCodeでプロジェクトを開くたびにマルウェアが再実行され、感染を削除することが難しくなります。
このキャンペーンはFAMOUS CHOLLIMAの脅威アクターの特徴を示しており、Lazarus Groupと関連があり、暗号通貨とWeb3開発者を標的として知られています。
高度な回避技術とステガノグラフィの使用は、これらの攻撃者が操作を改善していることをさらに示しています。
組織と開発者は、依存関係を慎重に確認し、信頼できないパッケージのインストールを避けることを強くお勧めします。
翻訳元: https://cyberpress.org/stegabin-targets-npm-users/