2026年3月16日、研究者たちは2つの人気React Nativeのnpmパッケージを対象とした組織的なサプライチェーン攻撃を発見しました。
侵害されたリリースはインストール時ローダーを注入し、マルチステージのWindows認証情報と暗号資産盗難マルウェアを静かにダウンロードして実行します。開発者は単にルーチン的なnpmインストールを実行するだけで感染をトリガーします。
脅威行為者はAstrOOnautaによって公開されたパッケージを侵害し、数分以内に互いに悪意のあるバージョンをリリースしました。
攻撃はクリーンバージョンをバイト単位で同一の悪意のあるペイロードを共有する感染したアップデートで置き換えました。
両方の悪意のあるリリースは同じパッケージライフサイクルフックを追加します:
高度に難読化されたコードは最初にSolana遠隔手続き呼び出しエンドポイントに接続して、第2段階の隠れたウェブリンクを含むトランザクションメモを取得します。
元のリリースされたインストーラーはSolana RPCフェッチを直接表示します:
ダウンロード後、第2段階は最終的なWindows対応のスティーラーをロック解除するための必要な復号化キーを提供します。
この最終段階は、スケジュール済みタスクとレジストリキーを変更することで、被害者のマシンに永続性を確立します。トラックを隠すために、マルウェアはGoogleカレンダー URL を追加の間接レイヤーとして使用して、最終的な指示を取得します。
マルウェアは言語設定とタイムゾーンを含む被害者のシステム環境を積極的にチェックして、被害者がロシアに住んでいないことを確認します。
「ru_RU」またはロシアのタイムゾーンなどの信号を検出した場合、マルウェアは静かに終了します。この地理的フィルタリングはロシア語を話す脅威行為者によって使用される一般的な回避戦術です。
システムが位置情報チェックを通過した場合、ペイロードは被害者のアプリケーションデータ内のChromiumおよびFirefoxブラウザプロファイルを検索します。
MetaMask、Phantom、Trust Walletおよび他の複数の暗号資産ウォレットの拡張機能を明示的にターゲットにします。また、システムコマンドを実行して、認証されたnpmレジストリトークンとGitHub認証情報を盗みます。
これらのパッケージを使用している開発者は、すぐに自分たちの環境を監査する必要があります。
推奨される改善策は、依存関係を最後の既知のクリーンバージョンにピンして、露出した認証情報をローテーションすることです。
翻訳元: https://cyberpress.org/npm-malware-hits-react-native/