TokyoBlackHatNews

gbhackers.com 4分で読了

Glasswormマルウェアが人気のReact Native npmパッケージに感染

Glasswormに関連する新たなサプライチェーン攻撃により、人気のあるReact Native npmパッケージ2つが、Windows認証情報盗難マルウェアの配信ツールとなってしまいました。

2026年3月16日、AstrOOnauta の[email protected] および[email protected] の悪意あるバージョンがnpmに公開され、いずれもルーチンのnpmインストール中に実行される同一のステージローダーを埋め込んでいます。

これらのパッケージは合わせて、推定29,763の週間ダウンロード数と134,887の月間ダウンロード数を占めており、短期的な侵害期間中、CIパイプライン、開発者ワークステーション、およびビルドエージェントをリスクにさらしています。

悪意のある動作は隣接するバージョン間に明確に導入されています。以前のリリース、[email protected] および[email protected] は、プレインストールフックを定義していませんでした。

レポートによると、2026年3月16日、攻撃者は数分以内に新しいバージョンをプッシュしました。UTC 10:49:29 に0.11.8 、UTC 10:54:18 に0.3.91 をリリースし、どちらもオブフスケートされたinstall.js とpackage.json の新しいプレインストールエントリを追加しています。

Glasswormマルウェア

install.js ファイルは両方のパッケージ間でバイト単位で同一であり、同じ公開元からの複数のパッケージが同一日に調整された方法で侵害されたことを強く示唆しています。

攻撃チェーンはインストール時実行に依存しています。両方のパッケージは “preinstall”: “node install.js” を定義しており、npmが通常のインストールを完了する前にNode.js にバンドルされたインストーラーを実行させます。

そのスクリプトは攻撃者が制御するインフラストラクチャに接続し、Solana RPCエンドポイントを含む、インストール中に2段階目のペイロードを完全に取得して実行します。

Image

コードはロシアのロケールまたはタイムゾーンを示唆する環境を持つ被害者を選択的にスキップしており、これは財務的に動機付けられたマルウェアで繰り返し見られるパターンです。

同じSolanaベースのチェーンをオフラインで追跡することで、研究者はSolanaアカウントを抽出し、getSignaturesForAddress をクエリし、トランザクションメモからbase64エンコードされたリンクを復元し、その後2段階目のアーティファクトを取得して復号化することができました。

Image

復号化されたレスポンスには、http://45[.]32[.]150[.]251 でホストされている3段階目のペイロードのロックを解除するために必要な秘密鍵とIV(szfNmayz6fgt6ojbAuVhjEAOWMMxw7iS および ZMM7q5jBwUbsYFo7/8ZdxA==)が含まれていました。

ネイティブnpmパッケージ

その3段階目はWindows対応のスティーラーとダウンローダーであり、JavaScriptで実装され、AESを使用してさらに埋め込まれたコンポーネントを復号化します。

Image

Windowsで実行されると、マルウェアはschtask と Run レジストリキーを使用して永続性を確立し、~\init.json にガードファイルを作成して再実行を管理します。

その後、完全なNode.js ランタイム(v22.9.0、x86 およびx64)を %APPDATA%_node_x86 および %APPDATA%_node_x64 にダウンロードし、Nodeが事前にインストールされていないシステムでもNode ベースのモジュールを実行できるようにします。

ペイロードはChromium と Firefox のブラウザプロファイルパスを走査し、ブラウザプロセスを終了し、拡張機能とウォレットストレージをコピーして後で流出させます。

復元されたロジックは、MetaMask、Exodus、Atomic、Guarda、Coinomi、Daedalus、Braavos、OKX Wallet、Trust Wallet など、幅広いクリプト通貨ウォレットと拡張機能をターゲットにしています。

また、npmおよびGitHub認証情報をnpmクエリで盗みながらgit認証情報ヘルパーを呼び出す試みも行われており、単一のnpmインストールが完全な認証情報侵害に変わってしまいます。

収集されたデータと追加モジュールは、45[.]32[.]150[.]251 および217[.]69[.]3[.]152 の攻撃者インフラストラクチャに流出され、より広いGlassworm/ForceMemo キャンペーンと密接に調整された多段階の認証情報およびウォレット盗難チェーンが完成します。

翻訳元: https://gbhackers.com/glassworm-malware-3/

ソース: gbhackers.com
#GlassWorm #npm #npm認証情報盗難 #React Native #Windows認証情報盗難 #サプライチェーン攻撃 #ソフトウェアセキュリティ #マルウェア #暗号通貨ウォレット盗難 #開発者セキュリティ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚