Packagistの6つの悪意あるOphimCMSテーマが、トロイの木馬化されたjQueryおよび他のJavaScriptを含めて配布されていたことが判明しました。これは映画ストリーミングサイトとその利用者をリダイレクト、URL抽出、および制裁対象のFUNNULL基盤に関連する積極的な広告スキームにさらしていました。
Socketの脅威研究チームは、攻撃者がすべての悪意あるロジックをバンドルされたJSアセットに埋め込みながら、PHPコードとパッケージメタデータを無害に見せかけていたことを発見しました。これらのテーマをベトナムのストリーミングエコシステムに対する微妙なサプライチェーン脅威に変えました。
6つすべてがトロイの木馬化されたJavaScriptを主に改変されたjQueryファイルを使用して、サーバー自体を危険にさらすのではなく、ユーザーをサイレントにリダイレクトしたり、ページURLを盗んだり、広告を注入したり、分析をブロックしたりしています。
攻撃者は合計26個のパッケージを公開しましたが、これら6つだけが悪意あるペイロードを含んでいます。残りのテーマはクリーンに見え、アカウントがより広いOphimエコシステムに溶け込むのに役立ちました。
Socket はophimcms名前空間の下にある6つのComposerパッケージを特定しました。これらは正規のOphimCMSテーマを模倣しています:theme-dy、theme-mtyy、theme-rrdyw、theme-pcc、theme-motchill、およびtheme-legend。
Packagistのエントリはophimcms GitHub組織のリポジトリを指していますが、READMEは正規のhacoidev/ophim-coreプロジェクトにリンクしており、テーマが公式に承認されているように見せるための社会工学のトリックです。
2つのアカウント、1つの操作
Gitの履歴により、キャンペーンは2つのGitHub IDに関連しています:binhnguyen1998822(「To Nguyen」/「NTBDEV」)およびphantom0803(「Hades」/「OPDLNF」)。それぞれdev@ophim[.]ccおよびopdlnf01@gmail[.]comにマップされています。
両者ともophimcms組織への書き込みアクセス権を持ち、theme-dyを含むオーバーラップするテーマリポジトリにコミットしています。これは協力関係、または異なるペルソナの下で別のペイロードラインを維持する単一のオペレーターのいずれかを示唆しています。
dev@ophim[.]ccにリンクされたパッケージは、最も深刻なFUNNULL関連のリダイレクトペイロードを担当していますが、opdlnf01@gmail[.]comに関連するものは広告注入、クリックハイジャック、およびアンチデバッグロジックに焦点を当てています。
この労働分担は2つの並行する収益化パスを作成しています:一方は長寿命の詐欺インフラストラクチャ、もう一方は積極的だが「商業的に見える」広告の悪用です。
影響を受けたテーマ全体で、主な配信メカニズムは、通常のクロージャーの後に付加された難読化コードを持つjQueryライブラリ、またはSizzleエンジンに織り込まれたものです。これにより、インフォーマルな検査ではマルウェアを発見する可能性が低くなります。
いくつかのパッケージはMacCMS設定オブジェクト、中国語の広告スロットラベル、およびBaiduアナリティクスのトラッキングIDをJavaScriptに保持しています。これらはすべて元の展開コンテキストからのアーティファクトです。
theme-dyでは、改ざんされたjQueryファイルは2つの独立したチェーンを含みます:現在のページURLをuserstat[.]netに送信するシーザー暗号化されたURL抽出ペイロード、およびモバイル訪問者をギャンブルと成人向けコンテンツサイトにリダイレクトするFUNNULLにリンクされた第2段階です。
FUNNULLチェーンはunion[.]macoms[.]laから第2段階スクリプトをデコードします。このドメインはFUNNULLおよびそのRingH23ツールキットに属性化されており、Sansec、XLab/Qianxin、およびその他の別々の研究で示されています。
クローラーとセキュリティツールを回避しながら実際のトラフィックを収益化するために、モバイルデバイス、特定の時間ウィンドウ、リピートビジター、および管理者以外のユーザーのみをターゲットに実行を厳しく制限しています。
一方、userstat[.]net抽出チェーンは地理的制限がなく、ベトナムのOphimCMS展開に対してより広い実用的なリスクをもたらします。
トロイの木馬化されたjQueryキャンペーン
URL盗難とリダイレクトを超えて、他のテーマはさまざまなシナリオに調整された収益化と回避ロジックを埋め込みます。
同時に発行されたFBI FLASH勧告は、332,000を超える悪意あるドメインにリンクされた548のCNAMEを記述し、米国の個人および事業体がネットワークとの取引を禁止しています。
Theme-rrdyw は追加のJavaScriptファイルを配布しており、中国にリンクされたインフラストラクチャからデスクトップおよびモバイル広告を注入し、サイト所有者の同意なしにBaiduアナリティクスと51.laトラッキングをサイレントに追加します。
Theme-pccはリンククリックをハイジャックするため、ユーザーの意図した宛先は新しいタブで開き、元のタブは広告にリダイレクトされます。疑いを最小化するためにセッションごとに1回だけ実行します。
Theme-motchillはlocalStorageキーを介して管理されるフルスクリーンオーバーレイ広告を実装しており、ベトナム語の「広告を閉じる」ボタンが表示される前に訪問者に広告を表示するよう強制しています。
Theme-legendはアンチデバッグングに焦点を当てており、開発ツール、ホットキー、右クリックをブロックし、DevToolsが検出された場合は調査員を海賊版ストリーミングサイトにリダイレクトします。これにより、ブラウザ内分析が大幅に難しくなります。
最も深刻な要素は、FUNNULL Technology Inc.への活発なリンクです。これはフィリピンベースのインフラストラクチャプロバイダーで、2025年5月に大規模な暗号通貨詐欺を支援したためにOFACから制裁を受けており、数十万の悪意あるドメインにリンクされています。
これらの制裁にもかかわらず、union[.]macoms[.]laの背後にあるFUNNULL制御ペイロードは2026年3月現在も維持されており、このサプライチェーンチャネルへの継続的な投資を示しています。
推定2,750のインストール数は、影響を受けたサイトが訪問者URLをリークしたり、モバイルユーザーをギャンブルまたは成人向けコンテンツにリダイレクトしたり、注入された広告とアナリティクスを介してトラフィックを意図せず収益化した可能性があることを意味します。
Socketは、悪意あるテーマをすぐに削除し、userstat[.]net、union[.]macoms[.]la、23[.]225[.]52[.]67:4466、およびcre-ads[.]comの送信トラフィックを監査し、バンドルされたjQueryおよび他のベンダーJSを付加または埋め込み難読化コードについて詳しく検査することを推奨しています。特に整合性チェックがない場所では。
翻訳元: https://gbhackers.com/jquery-campaign/
