概要
正規のnpm UIコンポーネントライブラリを装った、非常に巧妙な情報窃取マルウェアが「ansi-universal-ui」パッケージを通じて開発者を標的にしています。このマルウェアは内部的に「G_Wagon」と識別され、多段階の難読化技術を駆使して、感染したシステムからブラウザの認証情報、暗号通貨ウォレット、クラウド認証キー、メッセージングトークンなどを窃取します。「モダンなウェブアプリケーション向けの軽量でモジュール式のUIコンポーネントシステム」と称しているにもかかわらず、このパッケージには正当なUI機能は一切含まれていません。セキュリティ研究者は2026年1月23日にこの悪意あるパッケージを初めて検出しました。
攻撃の手法
このパッケージのバージョン履歴を分析すると、異常なレベルの巧妙さと反復的な開発が明らかになります。特にv1.2.0では、npmのtar依存関係を削除し、システムtarコマンドを直接起動するように変更されました。攻撃者は、実行チェーンのテストのためのプレースホルダーコードを含む初期バージョンから、対フォレンジック機能、16進数でエンコードされたC2(コマンド&コントロール)URL、メモリのみのペイロード実行を追加した後のリリースまで、10以上のバージョンをわずか数日間で公開しています。
バージョン1.4.0は、回避技術における重要な進化を示しました。このバージョンでは、ペイロードをディスクにダウンロードしてセキュリティツールに検出されるリスクを冒す代わりに、マルウェアはリモートサーバーからBase64エンコードされたコードをフェッチし、メモリ内でデコードして、それを直接Pythonインタープリタにstdin経由でパイプするようになりました。このパッケージは、package.jsonに自身を依存関係としてリストすることで、二重実行を実現する巧妙な自己依存トリックを使用しています。これにより、インストール中にpostinstallフックが2回実行され、侵害が成功する可能性が高まります。
また、バージョン1.3.7では、実行後にペイロードを削除するクリーンアップコードが追加されており、ログメッセージも「Setting up Python environment」から「Initializing UI runtime」に変更するなど、フォレンジック対策も講じられています。
窃取される情報
G_Wagonの情報窃取能力は非常に広範囲に及びます。ターゲットとなる主要な情報は以下の通りです。
- ブラウザ認証情報: Chrome、Edge、Braveブラウザ(WindowsおよびmacOS)から資格情報を抽出します。Windowsでは、ブラウザプロセスを終了させ、Chrome DevTools Protocolを使用してCookieを収集し、Windows Data Protection APIを通じて保存されたパスワードを復号します。
- 暗号通貨ウォレット: MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Ledger Live、Exodusなど、100以上のブラウザウォレット拡張機能を標的とします。Ethereum、Solana、Cosmos、Polkadot、Cardanoなど、多数のブロックチェーンエコシステムにわたるウォレットの拡張機能データディレクトリ全体をコピーします。
- クラウド認証情報: AWS CLI、Azure CLI、Google Cloud SDKの資格情報ファイル、SSHキー、Kubernetes構成ファイルをコピーします。
- メッセージング/その他: Discordトークン、Telegramデータディレクトリ、Steam認証ファイルも含まれます。
窃取されたデータは圧縮され、NYCおよびフランクフルトのサーバーでホストされているAppwriteストレージバケットにアップロードされます。大規模なファイルの場合、マルウェアはデータを5MBのチャンクに分割し、信頼性の高い転送を保証します。このコードには、NTネイティブAPIを使用してブラウザプロセスに注入される埋め込みWindows DLLも含まれています。
影響と対策
影響を受けたユーザーは、直ちに「ansi-universal-ui」パッケージを削除し、ブラウザに保存されているすべてのパスワードを変更し、暗号通貨ウォレットの認証情報を無効にし、クラウドサービスのキーを再生成し、メッセージングアプリケーションのセッションを無効にする必要があります。