2026年3月31日、サイバーセキュリティコミュニティは、脅威アクターが非常に人気の高いAxios Node Package Manager(npm)パッケージを見事に侵害したときに、重大なサプライチェーン攻撃に直面しました。
盗まれたメンテナー認証情報を利用することで、攻撃者はこの広く使用されているHTTPクライアントライブラリを乗っ取り、疑いを持たない開発者に高度なマルウェアを配布しました。
悪意のあるペイロードはZshBucketマルウェアの更新されたバリアントとして識別され、複数のオペレーティングシステム全体に秘密裏に展開されました。
CrowdStrike Counter Adversary Operationsのセキュリティ研究者は、この高度なブリーチを北朝鮮関連の脅威グループSTARDUST CHOLLIMAに起因するものと断定しており、その評価に中程度の信頼を置いています。
歴史的には、セキュリティ研究者はZshBucketがmacOS固有の脅威としてのみ活動しているのを観察していました。しかし、Axiosの侵害はマルウェアのリーチと機能の深刻なエスカレーションを示しています。
新たに発見されたバリアントは、プラットフォームの境界を越えるように設計され、Linux、macOS、およびWindowsシステムを積極的に標的にしています。
新しいmacOSバリアントは古いバージョンからコードと関数名を大量に再利用していますが、更新されたすべてのバリアントは中核的なプロファイリング機能を維持しています。
感染したオペレーティングシステムを巧妙にスキャンして、ユーザーとホストのデータを静かに収集した後、それを攻撃者に送信します。
この攻撃を北朝鮮の国家支援者アクターに結びつけるには、攻撃者のコマンドアンドコントロール(C2)ネットワークの慎重な分析が必要でした。
攻撃者はC2サーバーに特定のドメインを利用し、これは2つの著名なIPアドレスを持つ独特のホストサービスバナーハッシュを共有しています。
これらのアドレスの1つは以前のSTARDUST CHOLLIMA操作に直接関連付けられており、2025年12月に最初に観察されました。
2番目のIPアドレスは、2025年5月に別の北朝鮮グループであるFAMOUS CHOLLIMAにリンクされたツールであるInvisibleFerretマルウェアのC2サーバーとして以前使用されていました。
北朝鮮の脅威グループは頻繁にインフラストラクチャとツールを共有しているため、正確な責任グループを特定することは困難です。
FAMOUS CHOLLIMAは過去の操作でnpmリポジトリを悪用した既知の歴史があります。しかし、CrowdStrikeはこの特定の攻撃ではSTARDUST CHOLLIMAを支持しています。ZshBucketは彼らに独自に起因しているためです。
さらに、これらの更新されたバリアントの非常に高度な性質は、STARDUST CHOLLIMAの技術的能力とはるかによく適合しています。対照的に、FAMOUS CHOLLIMAは通常、より洗練されていないツール化に依存しています。
最終的に、このサプライチェーン攻撃の基本的な動機は財政的であると思われます。STARDUST CHOLLIMAは不正な通貨の生成を優先し、頻繁に暗号資産保有者および金融技術企業を標的にしています。
Axiosのような大規模なリポジトリを侵害することで、攻撃者はfintech部門の高価値ターゲットをキャプチャするために大きなネットを張ります。
STARDUST CHOLLIMAの運用テンポが2025年後半から継続的に急増している中で、このインシデントは、敵対者がグローバルなソフトウェアサプライチェーンに浸透するための運用を積極的に拡大していることへの厳しい警告となります。
翻訳元: https://cyberpress.org/axios-npm-package-compromised/