PhantomRaven マルウェアが再登場、npm サプライチェーンを標的とする
PhantomRaven と呼ばれる大規模なマルウェアキャンペーンが再び現れ、npm ソフトウェアサプライチェーンを標的として、開発者の秘密情報を盗もうとしています。この新たに特定されたパッケージは、2025 年 11 月から 2026 年 2 月までの間に配布された Wave 2、Wave 3、Wave 4 の 3 つの新しいフェーズに属しています。
セキュリティ研究者による発見
Endor Labs のセキュリティ研究者は、このキャンペーンに関連する 88 の新たな悪意のある npm パッケージを発見しました。そのうち、分析時点で 81 のパッケージがまだ利用可能でした。また、このキャンペーンの 2 つのコマンドアンドコントロール (C2) サーバーが依然として稼働していることが確認されています。
PhantomRaven マルウェアの詳細
PhantomRaven は、開発者を侵害するための巧妙なサプライチェーン攻撃であり、正当な npm パッケージに隠された資格情報窃取マルウェアを埋め込むことで実行されます。このキャンペーンは、2025 年 10 月に Koi Security によって最初の波が 126 の npm パッケージに影響を与えたと報告されたときに初めて明らかになりました。
Remote Dynamic Dependencies (RDD) 技術
PhantomRaven は、外部依存関係から動的に取得される悪意のあるコードを隠す Remote Dynamic Dependencies (RDD) 技術を使用します。これらの依存関係は npm レジストリ内に直接保存されていないため、開発者やパッケージレポジトリが使用する従来のセキュリティスキャンツールを回避できます。
攻撃の変化
研究者は、攻撃者が時間とともにどのようにキャンペーンを変更したかを追跡しました。コアのマルウェア機能は大きく変更されませんでしたが、脅威アクターはインフラストラクチャを継続的に回転させ、検出を避けるために努力を払いました。
新たな波の特徴
- コマンドアンドコントロールサーバーの頻繁な回転
- データエクスフィルレーション用の PHP エンドポイント名の変更
- パッケージの説明の変更
- 新しい依存関係名の使用
- 50 以上の一時的な npm アカウントの使用
セキュリティ対策
セキュリティ専門家は、組織が以下の対策を講じることを推奨します。
- パッケージインストール中に依存関係のソースと外部ネットワーク呼び出しを監視する。
- 動的依存関係を検出する能力を持つソフトウェア構成分析ツールを使用する。
- 開発環境での機密資格情報へのアクセスを制限する。
- npm ディペンデンシーを継続的に監視し、不審な行動を検出する。
結論
PhantomRaven キャンペーンが継続的に進化するにつれて、研究者はソフトウェアサプライチェーン攻撃が開発者とオープンソースエコシステムに依存する組織にとって継続的な脅威であると警告しています。