概要
JavaScript開発者向けに新たなサプライチェーン攻撃である’StegaBin’キャンペーンが、人気のオープンソースライブラリとして装う26の悪意のあるnpmパッケージを介して展開されています。これらのパッケージは、マルチステージ資格情報窃取ツールとリモートアクセストロイアント(RAT)を秘密裏にデプロイします。
脅威の背景
このキャンペーンは、北朝鮮関連のFAMOUS CHOLLIMA脅威アクターに関連付けられています。過去には、暗号通貨やWeb3開発者を標的とした「Contagious Interview」作戦で知られています。
攻撃の詳細
SocketsのAIベースの検出が2026年2月25日から26日にかけて公開された26のnpmパッケージをフラグにしました。これらのパッケージは、throwawayアカウントからプッシュされ、expressやfastifyなどの広く使用されているプロジェクトをタイポスquattingしています。
攻撃手法
悪意のあるパッケージは、正当なライブラリを依存関係として宣言することで、合法的に見えるようにし、被害者のプロジェクトが継続してビルドできるようにしています。
マルウェアの展開
すべてのパッケージは、vendor/scrypt-js/version.jsに存在する単一の悪意のあるファイルを共有し、npm installフックを通じてscripts/test/install.jsが実行されます。
ステガノグラフィーとC2インフラストラクチャ
このローダーは高度にオブファスケーションされ、テキストステガノグラフィデコーダを実装し、Pastebinの3つの記事から隠されたC2ドメインを抽出します。
マルウェアの機能
- プラットフォーム固有のシェルペイロードをOSごとに取得します。
- Node.jsとPythonのインストールまたは更新、追加のparser.jsエージェントおよび依存関係のダウンロード。
情報窃取ツールキット
このマルウェアは、VSCodeの永続性、キーロギングとクリップボード盗難、ブラウザ資格情報収集、TruffleHogベースのシークレットスキャン、GitおよびSSHのエクスフィラート、StegaBinローダーの再配布など、開発者ワークステーション向けに設計された9つのモジュールからなる情報を盗むツールキットを提供します。
対策
組織はStegaBinを北朝鮮のnpmサプライチェーン攻撃の高度な進化と見なし、依存関係の衛生を強化し、PastebinやVercelのトラフィックをブロックし、開発者エンドポイントで異常なnpmインストールフック、VSCodeタスク変更、および103[.]106[.]67[.]63と関連するインフラストラクチャへの接続を監視することをお勧めします。
結論
この攻撃は、開発者環境に対する高度な脅威であり、適切なセキュリティ対策が求められます。