nmpエコシステムから新たなサイバーセキュリティ上の脅威が現れました。攻撃者が一見無害に見えるパッケージの中に、精巧な情報窃取ツールを巧妙に隠蔽することに成功しました。
2026年3月12日、JFrogのセキュリティ研究者Guy KorolevskiとMeitar Palasは、Cipherインフォスティーラーを配信するために設計された2つの悪質なパッケージの発見を報告しました。
「Solara」という名前のRobloxスクリプトエクスキューター になりすまして、このマルウェアはWindows環境を標的にDiscordの認証情報、ブラウザデータ、および暗号資産ウォレットを静かに盗み取ります。
これらのパッケージはプリインストールスクリプトを使用してDropboxからWindowsの実行可能ファイルをダウンロードしました。VirusTotalにアップロードされると、実行可能ファイルはほぼすべての静的およびヒューリスティックアンチウイルススキャナーをバイパスしました。なぜなら、それは単なるドロッパーとして機能していたからです。
内部には、難読化されたJavaScript、完全なNode.js環境、および埋め込まれたPythonスクリプトを含む321MBのアーカイブが隠されていました。
従来のマルウェア署名を回避し、真のペイロードをきれいな外層の内部に隠すことで、攻撃者は検出を巧妙に回避しました。
Cipherスティーラーは組み込みのセキュリティ機能を無効化し、クライアントファイルを改ざんすることで、Discordアカウントの侵害を優先します。
このマルウェアはBetterDiscordのコアファイルをパッチして、ウェブフックの保護を無効化し、盗まれた認証情報がブロックされることなく攻撃者のサーバーに到達するようにします。
公式Discordアプリの場合、JavaScriptはライブGitHubリポジトリから追加のペイロードをダウンロードします。
注入されたスクリプトはユーザーを強制的にログアウトさせ、その後、次のログイン時に認証情報、二要素認証コード、およびクレジットカード情報をキャプチャします。
永続性を維持するため、マルウェアはDiscordのインストールファイルを改ざんして、アプリケーションが起動するたびに悪質なスクリプトが自動的に実行されるようにします。
Discordを超えて、マルウェアは被害者のシステム上で機密データの大規模な掃引を行います。Pythonがシステムにインストールされていない場合、マルウェアは盗難を確実に成功させるためにPythonを黙って ダウンロードしてインストールします。
同時に、スクリプトはBitcoin、Ethereum、Exodus、Electrum、および他のいくつかのデジタル通貨に関連付けられたウォレットファイルを探索します。
マルウェアはローカルライブラリを使用してExodusウォレットのシードファイルを復号化しようと積極的に試みます。収集されたすべてのデータは一時的なステージングディレクトリに移動され、ZIPファイルに圧縮され、ファイル共有サービスまたはコマンドアンドコントロールサーバー経由で攻撃者に流出されます。
npmパッケージとDropboxリンクは無効化されていますが、exposure した可能性のあるユーザーは直ちに以下の対応策を講じるべきです:
翻訳元: https://cyberpress.org/malicious-npm-campaign-steal-discord-and-crypto-wallet-data/