概要
新しい Glassworm リンクのサプライチェーン攻撃が、Windows の資格情報窃取マルウェアの配布手段として、2つの人気のある React Native npm パッケージを一時的に利用しました。
攻撃の詳細
2026年3月16日、悪意のあるバージョンの AstrOOnauta の [email protected] と [email protected] が npm に公開されました。これらのパッケージは、通常の npm インストール中に実行されるステージドローダーを含んでいます。
影響範囲
- これらのパッケージは、合計で週間で約 29,763 回、月間で約 134,887 回ダウンロードされています。
- CI パイプライン、開発者ワークステーション、およびビルドエージェントがリスクにさらされる可能性があります。
攻撃の手法
攻撃者は、2026年3月16日 UTC 10:49:29 と UTC 10:54:18 の間に、それぞれ 0.11.8 と 0.3.91 の新しいバージョンを公開しました。これらのバージョンは、オブファスケートされた install.js と新しい preinstall エントリを含んでいます。
マルウェアの特徴
- install.js ファイルは、両パッケージでバイト単位で同一であり、同じ日の同一の発行者による複数パッケージの同時同一日攻撃を強く示唆しています。
- インストール時に実行される攻撃チェーンは、攻撃者が制御するインフラストラクチャに接続し、第二段階のペイロードを取得して実行します。
- ロシアのロケールやタイムゾーンを持つ環境では、攻撃がスキップされるように設定されています。
攻撃の展開
攻撃者は、Solana RPC エンドポイントを使用して、第二段階のペイロードを取得します。その後、第三段階のペイロードは、AES を使用して暗号化された追加のコンポーネントを解読します。
マルウェアの機能
- Windows に実行された後、マルウェアは schtasks と Run レジストリキーを使用して持続性を確立します。
- ブラウザのプロファイルパスを検索し、プロセスを終了し、拡張機能やウォレットのストレージをコピーします。
- npm と GitHub の資格情報を取得し、単一の npm インストールを完全な資格情報の侵害に変換します。
攻撃の結果
収集されたデータと追加のモジュールは、攻撃者のインフラストラクチャにエクスフィルレートされ、マルウェアは Glassworm/ForceMemo キャンペーンと緊密に連携しています。