はじめに
2025年9月に発覚した大規模なNPMエコシステム侵害は、サプライチェーン攻撃に対する重要な第一線としてのメールセキュリティに再び注目を集めています。脅威アクターは、巧妙なフィッシングキャンペーンを通じて複数の著名なNPM開発者アカウントを侵害し、合計28億回近くダウンロードされた20の人気パッケージに悪意のあるコードを挿入しました。新しい分析では、高度なメール保護機能が、このインシデントを引き起こした最初の悪意のあるメッセージをどのように阻止できたかが示されています。
フィッシングキャンペーンの詳細
2025年9月8日、脅威アクターはNPM開発者を標的とした高度なフィッシングキャンペーンを実行しました。彼らはNPMサポートになりすまし、開発者Josh Junon(「qix」として知られる)に「二要素認証の更新が必要です」という件名の欺瞞的なメールを送信しました。このメールは、受信者の二要素認証設定が古く、直ちに対応が必要であると主張し、セキュリティ問題が迅速に解決されない場合、アカウントが停止されると脅迫しました。この緊急性を煽る言葉は効果的でした。
Junon氏と少なくとも4人のNPM開発者が悪意のあるリンクをクリックし、クローンされたNPMログインページに資格情報を入力しました。攻撃者がこれらのアカウントにアクセスすると、20の人気NPMパッケージを改変し、JavaScriptクリッパーを挿入しました。これは、ブラウザやアプリケーションの活動を監視して、仮想通貨ウォレットのやり取りを検出するマルウェアです。このマルウェアは、Bitcoin(BTC)、Ethereum(ETH)、Solana(SOL)、Tron(TRX)、Litecoin(LTC)、Bitcoin Cash(BCH)のウォレットアドレスを検出し、置き換えることで、ユーザーが気づかないうちに仮想通貨の送金を攻撃者管理のウォレットに転送することができました。
迅速な対応と検出の利点
迅速な修復作業の後、侵害されたパッケージはクリーンなバージョンに戻され、影響を受けた開発者はアカウントの制御を取り戻しました。
Group-IBのビジネスメール保護(BEP)プラットフォームは、このフィッシングキャンペーンが開発者の受信トレイに到達する前に特定し、ブロックできたであろう機能を示しています。メールは標準的なメール認証プロトコル(SPF、DKIM、DMARC)を通過したにもかかわらず、いくつかの技術的指標がキャンペーンを悪意のあるものとしてフラグ付けしたはずです。
- 不正な「npmjs.help」ドメインは最近登録されたもので、NPMの公式インフラストラクチャとは正当な関連性がありませんでした。これは明確なドメインスプーフィングの異常を示しています。
- BEPの高度な検出メカニズムは、送信者の行動パターンを分析し、ドメインスプーフィングの試みを特定し、悪意のある添付ファイルやリンクをリアルタイムで検査します。
- フィッシングメールには、アカウント停止の緊急の脅威、資格情報収集サイトに誘導するカスタマイズされた悪意のあるリンク、人間の監視を回避するように設計された言葉遣いなど、資格情報収集キャンペーンのいくつかの特徴が含まれていました。
ビジネスメール保護システムは、これらの行動的および技術的指標を検出することに優れており、正当な組織の通信と矛盾するパターンを示すメッセージにフラグを立てます。
業界への影響
この事件は、洗練された開発エコシステムにおいても、人間が攻撃者にとって最も信頼できる侵入経路であるという重大な脆弱性を浮き彫りにしています。Group-IBは、脅威インテリジェンスプラットフォームを通じて、攻撃者が使用した侵害の指標、フィッシングインフラストラクチャの詳細、仮想通貨ウォレット情報に関する包括的な情報を提供し、セキュリティチームが検出能力を強化し、関連する脅威に対応できるようにしています。
影響を受けたパッケージが週に28億回近くダウンロードされたことを考えると、この侵害の潜在的な影響は、侵害された開発者アカウントをはるかに超えていました。組織は、認証プロトコル検証と行動分析、ドメイン評価チェック、脅威インテリジェンス統合を組み合わせた多層的なメールセキュリティソリューションを実装することで、同様のリスクを軽減できます。サプライチェーン攻撃が進化し続ける中、メールセキュリティは、最初の侵害の試みに対する最も費用対効果が高く、影響力のある防御策であり続けています。