はじめに:npmサプライチェーン攻撃の新たな手口
サイバーセキュリティ研究機関Kasperskyは、npmエコシステムを標的とした高度なサプライチェーン攻撃を発見しました。この攻撃では、正規のプロキシユーティリティを装った悪意のあるパッケージを通じて、「AdaptixC2」というポストエクスプロイテーションフレームワークが配布されました。これは、オープンソースソフトウェアリポジトリが高度なマルウェア配信の攻撃ベクトルとして利用されるリスクが高まっていることを示しています。
巧妙な偽装と攻撃のメカニズム
2025年10月、Kasperskyの専門家は「https-proxy-utils」という悪意のあるnpmパッケージを特定しました。このパッケージは、開発者を欺いてシステムにマルウェアをインストールさせることを目的としていました。攻撃者は、週に約5,000万回ダウンロードされる人気の正規パッケージ「proxy-from-env」の機能を模倣し、さらに「http-proxy-agent」や「https-proxy-agent」(合計で週に1億6,000万回以上ダウンロード)といった信頼性の高いパッケージに似せた名前を使用するタイポスクワッティングの手法を用いていました。この悪意のあるパッケージはすでにnpmレジストリから削除されていますが、開発者がオープンソースエコシステムに寄せる信頼がいかに容易に悪用されるかを示しています。
AdaptixC2フレームワークの脅威
この攻撃の特徴は、その洗練されたマルチプラットフォーム配信メカニズムにあります。悪意のあるパッケージには、開発者がインストールすると自動的に実行されるポストインストールスクリプトが含まれており、被害者のオペレーティングシステムに合わせて調整されたAdaptixC2エージェントをダウンロード・展開します。AdaptixC2は、2025年初頭に公開された、よく知られたCobalt Strikeポストエクスプロイテーションフレームワークの代替として機能し、2025年春に初めて悪用が確認されました。
OSごとの異なる攻撃手法
AdaptixC2は、ターゲットのOSに応じて異なる手法で展開されます。
- Windowsシステム:DLLサイドローディング技術が用いられ、AdaptixC2エージェントがDLLファイルとして
C:\Windows\Tasksディレクトリにドロップされます。その後、正規のmsdtc.exeファイルが同じ場所にコピーされ、実行されることで悪意のあるDLLがロードされます。 - macOSシステム:ペイロードは実行可能ファイルとして
Library/LaunchAgentsディレクトリにダウンロードされ、永続化のためのplist構成ファイルが付属します。スクリプトは、システムがx64アーキテクチャかARMアーキテクチャかをインテリジェントに検出し、適切なペイロードバリアントを取得します。 - Linuxシステム:フレームワークのエージェントは
/tmp/.fonts-unix一時ディレクトリにダウンロードされます。macOSの実装と同様に、スクリプトはx64またはARMシステム用のアーキテクチャ固有のバイナリファイルを配信し、マルウェアを実行するための実行権限を付与します。
AdaptixC2フレームワークが正常に展開されると、攻撃者はリモートアクセス、コマンド実行、ファイルおよびプロセス管理、複数の永続化手法など、広範な機能を手に入れます。これにより、攻撃者は侵害されたシステムへの継続的なアクセスを維持し、ネットワーク偵察を行い、追加の攻撃段階を展開することが可能になります。
広がるサプライチェーン攻撃の波紋と対策
この事件は、npmを標的としたサプライチェーン攻撃の憂慮すべき傾向の一部です。この発見のわずか1ヶ月前には、同様のポストインストールスクリプト技術を使用して500以上のnpmパッケージを感染させたShai-Huludワームが確認されています。これらの事件は、脅威アクターがポストエクスプロイテーションフレームワークやその他のマルウェアを配布するために、信頼されているオープンソースサプライチェーンをいかに悪用しているかを浮き彫りにしています。
セキュリティ専門家は、オープンソースソフトウェアを使用する開発者や組織に対し、いくつかの保護措置を推奨しています。ユーザーは、インストール前にパッケージの正確な名前を慎重に確認し、人気のない新規作成されたリポジトリを徹底的に精査し、侵害されたパッケージやライブラリに関するフィードを頻繁に監視する必要があります。AdaptixC2事件は、依存関係のインストールのような日常的な開発活動でさえ、適切なセキュリティ対策が講じられていない場合、高度なサイバー攻撃のエントリポイントになり得ることを改めて強く警告しています。