概要
NPMサプライチェーン攻撃において、偽のHTTPクライアントパッケージであるundicy-httpが使用され、強力なRATとスパイウェアを配布しています。この悪意のあるパッケージは、公式HTTPクライアントとして広く使用されているundiciを模倣し、実際のHTTPクライアントロジックではなく、オブフォスケートされたインデックス.jsペイロードへのエントリポイントとなっています。
攻撃の詳細
JFrog Security研究チームは、偽のundicy-httpパッケージ(バージョン2.0.0)を特定しました。このパッケージはWebSocket C2サーバー(ws://24[.]152[.]36[.]243:3000)に接続し、リモートオペレーター向けの豊富なRATインターフェースを提供します。
パッケージの配布と実行
- 偽装戦略:undicy-httpは、公式HTTP/1.1およびHTTP/2クライアントであるundiciを模倣する単純なタイプスquatting戦略を使用しています。
- 実行:インストール後、パッケージは一時的なVBScriptラッパーと_NYX_HIDDEN環境変数を使用して自身を隠れたコンテキストで再起動します。これにより、可視なコマンドプロンプトウィンドウが表示されません。
機能と脅威
- リモート制御:NPMサプライチェーン攻撃は、WebSocketコマンドを通じて感染ホストに対する完全なインタラクティブな制御を提供します。
- データ収集:スクリーンショットの取得、ファイルアップロード、マルチモニター画面キャプチャとストリーミング、マイク録音、ウェブカメラの列挙/ストリーミング、スピーカーでの任意のオーディオ再生など。
- 持続性:高権限スケジュールタスク「ScreenLiveClient」を作成し、HKCU Runキーを使用して起動時に実行されるようにします。さらに、Windowsスタートアップフォルダにコピーすることも可能です。