TokyoBlackHatNews

csoonline.com 4分で読了

PhantomRavenが88個の悪意あるパッケージでnpmに戻る

Endor Labsの研究者らは、キャンペーンの新しい波に関連する88個の新しいパッケージを発見しました。このキャンペーンは、リモート動的依存関係を使用して認証情報を盗むマルウェアを配信します。

昨年の「PhantomRaven」サプライチェーンキャンペーンが戻ってきました。セキュリティ研究者らは、この活動の第2、第3、第4波として説明される88個の新しい悪意あるパッケージを発見しました。

Endor Labsの調査によると、新たに発見されたパッケージは2025年11月から2026年2月の間に公開され、そのうち81個がnpmで利用可能であり、2つのアクティブなコマンドアンドコントロール(c2)サーバーが存在します。

「PhantomRavenは、リモート動的依存関係(RDD)を使用して、標準的なセキュリティスキャンをバイパスする非レジストリ依存関係に認証情報を盗むマルウェアを隠すソフトウェアサプライチェーン攻撃です」と研究者らはブログの投稿で述べています。「126以上のパッケージに影響を与え、86,000回以上のダウンロードがある第1波は、2025年10月にKoi Securityによって最初に説明されました。」

キャンペーンの進化は、インフラストラクチャーインジケーター、コードの類似性、および攻撃者の運用パターンを相互に関連付けることで追跡されました。ただし、ブログの更新では、Endor Labsはパッケージが正当な研究実験の一部であると主張されていると述べており、運用上の不規則性を理由に異議を唱えています。

依存関係トリックはマルウェアを隠す

RDDは、パッケージ自体の外で悪意あるコードを配信することを可能にします。npmパッケージに直接マルウェアを埋め込む代わりに、攻撃者はパッケージの「package.json」ファイルにHTTP URL依存関係を指定します。

開発者が「npm install」を実行すると、npmは攻撃者が制御するサーバーから依存関係を自動的に取得します。npm上でホストされているパッケージは無害に見え、多くの場合、基本的なスクリプト以上のものはほとんど含まれていませんが、実際の悪意あるペイロードはインストール処理中に並行してダウンロードされます。

実行されると、マルウェアは開発者の環境から様々な機密情報を収集します。これには、メールアドレス、システム詳細情報、およびGitHub Actions、GitLab CI、Jenkins、CircleCIなどのCI/CDプラットフォームからの認証情報が含まれます。

盗まれたデータは、HTTP GET、POSTリクエスト、さらにはWebSocketコネクションを含む複数の冗長な技術を使用して攻撃者が制御するサーバーに送信され、異なるネットワーク環境全体での流出を確保します。悪意あるコードはnpmパッケージ自体に直接出現しないため、パッケージの内容に焦点を当てた従来のスキャンツールはそれをフラグ付けするのに失敗します。

運用パターンが「研究実験」の主張に異議を唱える

新しい波にもかかわらず、PhantomRavenのコア機能は大幅に変わっていないと研究者らは述べています。彼らは、マルウェアペイロードの259行のうち257行がすべての波全体で同一であり、唯一の重大な修正が盗まれたデータを受け取るために使用されるコマンドアンドコントロールドメインであることを発見しました。

代わりに、攻撃者は削除に先んじるために設計された運用上の変更に焦点を当てました。これには、npmアカウントのローテーション、パッケージの説明とメタデータの変更、および「storeartifact」、「jpartifacts」、「artifactsnpm」などの同様の命名パターンで新しいドメインを登録することが含まれます。

さらに、このキャンペーンはSlopsquattingを使用して、Babelプラグイン、GraphQLツーリング、ESLintプリセット、その他の広く使用されている開発ユーティリティを模倣するパッケージを公開しました。

Endor Labsのブログ投稿は、パッケージが悪意あるパッケージ検出を研究することを目的とした正当な研究実験の一部であったという主張を反映するために後で更新されました。「パッケージはコミュニティで知られているセキュリティ研究者によって作成されたとされています」と更新は読みました。「しかし、いくつかの特性は、これらのパッケージを正当な研究成果物ではなくマルウェアとして分類することを強く支持しています。」

Endor Labsのこの主張への異議には、アクティブなコマンドアンドコントロールサーバーの存在、開発者環境をターゲットとする認証情報収集ルーチン、およびアクティブなデータ流出メカニズムが含まれました。「さらに、パッケージは研究実験の一部であることをいかなる指標も示していません— READMEでも、コンソールメッセージやパッケージメタデータを通じても—影響を受けたユーザーに透明性をもたらしません」と研究者らは述べました。

翻訳元: https://www.csoonline.com/article/4144231/phantomraven-returns-to-npm-with-88-bad-packages.html

ソース: csoonline.com
#npm #PhantomRaven #slopsquatting #サプライチェーン攻撃 #セキュリティ脅威 #パッケージマネージャー #マルウェア #依存関係攻撃 #認証情報窃盗 #開発者攻撃

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く