6つのPackagistテーマがトロイの木馬化されたjQueryおよび他のJavaScriptを配布し、サーバーではなくサイト訪問者を侵害する新たなOphimCMSサプライチェーン攻撃です。
研究者は、Packagistのophimcms名前空間の下に6つの悪意あるComposerパッケージを発見しました。これらは映画ストリーミングサイトに使用されるベトナム語のLaravel CMS である OphimCMS の正当なテーマのふりをしています。
これらのパッケージは、通常のベンダーアセット(主にjQuery)のように見えるJavaScriptファイルをバンドルしていますが、リダイレクト、データ窃取、広告悪用、および分析対策トリックの隠されたコードが含まれています。
悪意あるテーマは報告時点でPackagist上でまだ活動中であり、削除要求はプラットフォームのセキュリティチームに提出されています。
影響を受けるパッケージは以下の通りです:ophimcms/theme-dy、theme-mtyy、theme-rrdyw、theme-pcc、theme-motchill、およびtheme-legend。
SocketのThreat Research Teamが6つの悪意あるComposerパッケージを特定しました。これらはPackagist(PHP)上のophimcms名前空間の下で公開されています。
同じ名前空間の残りの20個のパッケージはクリーンに見えます。悪意あるロジックはすべてJavaScriptレイヤーに限定されており、PHPコードベースではありません。
悪意あるテーマの仕組み
全体を通して、主な脅威ベクトルはトロイの木馬化されたjQueryライブラリです。攻撃者は通常のファイル終了後に難読化されたJavaScriptを追加するか、Sizzleエンジン内に隠すため、表面的な検査が効果を失います。
3つのテーマ(theme-dy、theme-mtyy、theme-rrdyw)では、あるペイロードが単純なシーザー暗号を使ってC2を隠し、注入されたスクリプトタグ経由で現在のページURLをuserstat[.]netに流出させます。地理的な制限なくグローバルに発動します。
theme-dyでは、第2のペイロードがFUNNULL関連URL(union[.]macoms[.]la)をデコードし、厳密な条件下でモバイルユーザーをギャンブルおよび成人サイトへ静かにリダイレクトし、同時にボット、管理セッション、およびヘッドレス環境を能動的に回避します。
他のテーマは直接的なC2ビーコンではなく、マネタイゼーションと回避機能を含みます。theme-rrdywは中国インフラからのデスクトップおよびモバイル広告を注入し、Baiduおよび51.laからのサードパーティ分析を静かに追加します。
Theme-pccはクリックをハイジャックして、通常のリンクは新しいタブで開く一方、元のページは静かに広告URLにリダイレクトします。セッションごとに1回だけなので、レーダーに引っかかりません。
Theme-motchillは遅延閉鎖ボタン付きのフルスクリーン広告オーバーレイを表示し、localStorageでインプレッションを追跡します。一方、theme-legendはDevTools、ホットキーを無効にし、無限ブレークポイントをトリガーしてデバッグを積極的にブロックした後、アナリストを違法ストリーミングサイトにリダイレクトします。
オペレータ、インフラストラクチャ、および起源
Gitの履歴は、26の関連パッケージすべてをophimcms GitHub組織にリンクし、これはdev@ophim[.]ccおよびopdlnf01@gmail[.]comにマップされた2つのアカウントで制御されています。
1つのアイデンティティはFUNNULL関連リダイレクトを含むテーマに関連付けられており、もう1つは広告注入、クリックハイジャック、およびデバッグ対策に焦点を当てています。これは密接な協力または単一のオペレーターが2つのペルソナを運営していることを示唆しています。
同時期に発行されたFBI FLASHアドバイザリは、332,000を超える悪意あるドメインにリンクされた548個のCNAMEを文書化し、米国の人員およびエンティティがネットワークとの取引を禁止しています。
これらのテーマ自体は元々のOphimCMS作品ではなく、ベトナム系エコシステムに移植された中国MacCMSテンプレートであり、中国の設定オブジェクト、ラベル、およびBaiduトラッキングIDを依然として流出させています。
最も深刻なリダイレクトチェーンはFUNNULL Technology Inc.によって実行されるインフラストラクチャにつながります。同社はフィリピンを拠点とする企業で、2025年5月にOFACによって、2億ドルを超える暗号投資詐欺を支援したことで制裁されています。
SansecおよびXLab/Qianxin、Silent Pushを含むセキュリティベンダーはすでにmacoms[.]laおよび関連ドメインをFUNNULLのCDNベースサプライチェーン活動の一部として列挙しており、ここで使用されるunion[.]macoms[.]laペイロードは2026年3月10日の時点でもまだ更新されていました。
6つのテーマのいずれかを使用しているサイトは、サーバー自体が直接侵害されていないとしても、訪問者をURL流出、FUNNULL操作のモバイルリダイレクト、不正な広告注入、クリックハイジャック、および迷惑分析トラッキングにさらします。
FUNNULLチェーンは中国のタイムゾーンのモバイルデバイスに厳密にスコープされていますが、広告とURLエクスフィルトレーションペイロードはグローバルに全ユーザーをトリガーするため、より広範な実用的なリスクをもたらします。
Socketは6つのパッケージ全体で約2,750のインストールを推定し、同様の「テーマレベル」サプライチェーン攻撃が、大量のJavaScriptバンドルとCSSが深くレビューされることがめったにない他のCMSエコシステムで続くと警告しています。
OphimCMSを実行している管理者は、インストールされたテーマを直ちに監査し、6つの悪意あるパッケージを削除し、バンドルされたJavaScriptをuserstat[.]netおよびunion[.]macoms[.]laなどのドメインへの予期しないネットワーク呼び出しをスキャンする必要があります。
より広く、チームはテーマとプラグインを信頼できないコードとして扱い、依存関係のホワイトリストを適用し、難読化または注入された動作のためにPHPやバックエンドコードだけでなくフロントエンドアセットを検査できる自動分析ツールを使用する必要があります。
翻訳元: https://gbhackers.com/jquery-in-ophimcms/
