セキュリティ研究者たちが、6つの悪意あるComposerパッケージを含むPackagist上の新しいソフトウェアサプライチェーン攻撃を発見しました。
「ophimcms」名前空間の下に公開されたこれらのパッケージは、映画ストリーミングWebサイトで使用される人気のベトナム語コンテンツ管理システムであるOphimCMSの正当なテーマに偽装していました。
安全なテーマの代わりに、これらのパッケージにはJavaScriptファイル内に隠された悪意あるコードが含まれており、特に標準的なjQueryライブラリに偽装されています。
Webサイトがこれらのテーマを使用すると、隠されたコードは訪問者をリダイレクトしたり、Webサイトアドレスを盗んだり、強制的な広告を表示したり、より危険なソフトウェアをロードしたりできます。最も深刻な脅威は、FUNNULL Technology Inc.が操作するサーバーを使用してモバイルユーザーをギャンブルと成人Webサイトにリダイレクトするペイロードから来ています。
FUNNULLはフィリピンに拠点を置くインフラストラクチャ企業で、米国政府は2025年5月29日に制裁を加えました。当局は同社を「豚の解体」としても知られている2億ドルを超える暗号資産投資詐欺に関連付けています。
同社は、偽の投資プラットフォームおよびサプライチェーン攻撃を含む、数十万の悪意あるWebサイトに接続されているセキュリティ専門家によるネットワークを運営しています。
これらの新しいパッケージの発見は、制裁が課された約10か月後、FUNNULLのネットワークが活動状態で危険なままであることを示しています。
調査により、偽の「ophimcms」GitHub組織の下に公開された26個すべてのパッケージが、2つの特定のユーザーアカウントで管理されていたことがわかりました。1つのアカウントは最初の悪意あるファイルを作成し、別のアカウントは後の更新に貢献し、他の感染したテーマを公開しました。
両方のアカウントは同じ組織内で協力して動作していたため、2人のハッカーが協力したか、1人の人が異なるタイプの攻撃を管理するために2つの異なるIDを使用したことを示唆しています。
開発者をだますために、ハッカーは偽のパッケージの指示ファイルを実際のOphimCMSプロジェクトに直接リンクし、悪意あるテーマを公式ソフトウェアとして表示させました。
6つの感染したパッケージは、メインのPHPコードではなくJavaScriptファイル内に隠された異なる種類の有害なアクションを実行します。
「theme-dy」パッケージが最も複雑で、FUNNULLリダイレクト、URL盗難、不正追跡を備えています。「theme-mtyy」パッケージはWebサイトアドレスの盗難に完全に焦点を当てています。
「theme-rrdyw」パッケージはURLを盗み、広告を強制し、中国分析トラッカーを注入します。
「theme-pcc」パッケージはユーザークリックをハイジャックし、訪問者が通常のリンクをクリックすると不要な広告を開きます。
「theme-motchill」パッケージは、ユーザーがタイマーが終了するまで閉じることができない大規模な全画面広告を強制します。
最後に、「theme-legend」パッケージには、ブラウザ開発者ツールをオフにすることでセキュリティ研究者がWebサイトを研究するのをブロックする特別なコードが含まれています。
2,750件以上のダウンロードがすでに記録されており、その影響は大きいです。これらのパッケージをインストールした開発者は、すぐにそれらを削除する必要があります。
翻訳元: https://cyberpress.org/ophimcms-themes-turn-malicious/