DailyDarkWebは、ソフトウェアセキュリティチームがオープンソースエコシステム内で洗練された新しいサプライチェーン脅威に直面していると報告しています。
Shai-hulud npmワームおよび北朝鮮関連のGraphalgoキャンペーン(暗号資産開発者を狙ったもの)を含む1年間の著名なインシデント後、ReversingLabsの研究者は新しいオペレーションを発見しました。
「ゴーストキャンペーン」と名付けられたこの新しい攻撃の波は、偽のnpmインストールアラートに依存しており、開発者をトリックしてsudoパスワードを明け渡させ、最終的に被害者マシンにリモートアクセストロイの木馬(RAT)を展開します。
ゴーストキャンペーンは、2026年2月初旬に初めて検出され、当初はmikilanjilloという単一のnpmユーザーによって公開された7つの悪意のあるパッケージで構成されていました。
これらのパッケージは、非常に欺瞞的な方法で昇格されたシステム特権をフィッシングして、その真の目的を隠すように設計されていました。
典型的な例は、react-state-optimizer-coreパッケージです。これはReactアプリケーションにおける非同期状態管理のための軽量ユーティリティを装っています。
最終的なペイロードは標準的なダウンロード・実行型マルウェアですが、それを展開するために使用される方法は非常に高度です。
sudoパスワードが確保されると、マルウェアはリモートサーバーに接続して最終的なペイロードをダウンロードします。発見されたほとんどのパッケージでは、ダウンロードURLと復号化キーがTelegramチャネルでホストされています。
暗号化されたペイロードをダウンロード後、マルウェアはハードコードされた文字列を取得したキーと組み合わせて使用してそれを復号化します。
結果のRATは、以前に盗まれたsudo認証情報を使用して実行されます。特定のパッケージバージョンには、RATのデータ盗難機能を支援するために設計された追加の復号化ファイルも含まれています。
最終的なマルウェアは、暗号資産ウォレットと機密データを盗むために構築された高度に機能的なRATであり、さらに詳細な指示を受け取るためにコマンド・アンド・コントロールサーバーとの持続的な通信を維持しています。
初期パッケージの一部にコンソールデバッグメッセージが存在することは、脅威アクターがより広い攻撃を開始する前にフィッシング技術を積極的にテストと改善していたという理論をさらに支持しています。
組織は警戒を続け、開発環境で疑わしい活動を監視することが求められています。
セキュリティチームがこれらの悪意のあるパッケージを検出および遮断するのを支援するために、ゴーストキャンペーンに関連して以下の侵害指標(IoC)が特定されました。
翻訳元: https://cyberpress.org/fake-npm-installs-distribute-rat/