サイバーニュース.jp

世界のサイバーなニュースを配信

新たなnpmマルウェアキャンペーン:被害者と研究者を識別し感染を仕掛ける

カテゴリ:

npmマルウェアキャンペーンの概要

Socket脅威調査チームは、脅威アクター「dino_reborn」による巧妙なnpmマルウェアキャンペーンを発見しました。このキャンペーンでは、正当なターゲットとセキュリティ研究者を区別した上でペイロードを実行するよう設計された7つの悪意のあるパッケージが展開されました。これは、トラフィッククローキング、分析妨害技術、欺瞞的なUI要素を自己完結型の感染メカニズムに統合した、サプライチェーン攻撃における重要な進化を示しています。

悪意のあるパッケージの詳細

脅威アクターは、geneboo@proton[.]meというメールアドレスを使用し、7つのnpmパッケージを管理していました。そのうち6つは非常によく似たマルウェアを含み、1つは偽のウェブサイトを構築していました。以下の悪意のあるパッケージは、Socketがテイクダウン要求を提出するまでnpm上で活動を続けていました。

  • signals-embed
  • dsidospsodlks
  • applicationooks21
  • application-phskck
  • integrator-filescrypt2025
  • integrator-2829
  • integrator-2830

これらのパッケージは、構成にわずかな違い(特にAdspectクローキングサービスの設定)があるものの、ほぼ同一の39KBのマルウェアペイロードを共有していました。

被害者と研究者の検出メカニズム

このキャンペーンの最も特徴的な点は、悪意のある意図を判断するために訪問者の行動をフィンガープリントすることです。ユーザーが偽のウェブサイトを訪問すると、マルウェアはユーザーエージェント、HTTPリファラー、リクエストURI、サーバー名、IPアドレス、受け入れ言語、タイムスタンプを含む13の異なるデータポイントを収集します。この情報は、脅威アクターが制御するプロキシを介してAdspect APIに送信されます。

Adspectの分析に基づき、マルウェアは重要な決定を下します。セキュリティ研究者には偽の「Offlido」ブランドを表示する空白の白いページが表示される一方、潜在的な被害者にはUniswap、Jupiter、standx.comのような分散型取引所を装った説得力のある偽のCAPTCHAが表示されます。この二重のアプローチは、セキュリティ分析を効果的に盲目にしながら、被害者に対するソーシャルエンジニアリングの有効性を維持します。

分析妨害技術

マルウェアは、リバースエンジニアリングを妨害するために複数のデバッグ対策を実装しています。具体的には:

  • 右クリックのコンテキストメニューを無効化
  • F12開発者ツールキーをブロック
  • Ctrl+Uによるソースコード表示を防止
  • DevTools検出がトリガーされると継続的にページをリロード

偽のCAPTCHAは欺瞞だけでなく、複数の目的を果たします。即座のリダイレクトはセキュリティアラートをトリガーしますが、3秒間の検証遅延後に新しいタブを開くという動作は、標準的なCloudflareやGoogleの検証ワークフローを模倣しており、正当に見えます。これにより心理的な信頼が構築され、悪意のあるリダイレクトに対する被害者の順守率が高まります。

仮想通貨を標的とした攻撃と永続性

DUSDステーブルコイン、SolanaベースのJupiter、EthereumベースのUniswapといった分散型取引所のブランドを選択していることは、仮想資産窃盗がキャンペーンの目的であることを強く示唆しています。脅威アクターは、正当な取引所のロゴとドメインを埋め込み、説得力のある視覚的信頼性を生み出し、被害者を本物のプラットフォームと誤認させます。

対策と課題

組織は、以下のような特徴的な指標を監視すべきです。

  • /adspect-proxy.phpおよび/adspect-file.phpのURLパターン
  • ユーザーインタラクションを無効にするスクリプト
  • 見慣れないPHPエンドポイントへの疑わしいクライアントフィンガープリンティング送信

このキャンペーンが特に懸念されるのは、そのアーキテクチャ設計です。Adspectの応答を通じてサーバー側でリダイレクトURLをローテーションさせることで、脅威アクターはテイクダウン後もパッケージを再公開する必要がなくなります。防御側は、各リダイレクトURLがすぐに古くなるため、プロアクティブな軽減策が複雑になるという反応的なシナリオに直面します。

このキャンペーンは、Adspectのような正当なサービスがオープンソースのエコシステム内でどのように武器化されるかを示しています。トラフィッククローキング、分析妨害制御、ブラウザベースのサプライチェーン配信の融合は、強化された検出能力と依存関係検証メカニズムを必要とする新たな脅威クラスを代表しています。

元記事: https://gbhackers.com/npm-malware-campaign/

投稿をさらに読み込む