概要
Socketの脅威研究チームは、Packagistに登録された6つのパッケージがトロイ化されたjQueryとその他のJavaScriptを含んでいることを発見しました。これらのパッケージは、映画ストリーミングサイトとその訪問者に対してリダイレクト、URLの漏洩、および強制的な広告スキームを引き起こす可能性があります。
詳細
Socketの研究チームは、これらのパッケージがトロイ化されたJavaScriptを含んでいることを確認しました。これらのJavaScriptは、ユーザーを静かにリダイレクトし、ページURLを盗む、広告を挿入する、または解析をブロックする機能を備えています。
関連パッケージ
Socketは、ophimcms名前空間の下で6つのComposerパッケージを特定しました:
- theme-dy
- theme-mtyy
- theme-rrdyw
- theme-pcc
- theme-motchill
- theme-legend
GitHubアカウント
このキャンペーンは、GitHubの2つのアカウントに結び付けられています:
- binhnguyen1998822(「To Nguyen」/「NTBDEV」)
- phantom0803(「Hades」/「OPDLNF」)
これらのアカウントは、ophimcms GitHub組織に対して書き込み権限を持っています。
攻撃の詳細
トロイ化されたjQueryライブラリは、通常のクロージャの後に追加された暗号化されたコードやSizzleエンジンに組み込まれたコードを使用して、悪意のあるコードを隠しています。
影響
これらのパッケージは、ユーザーのURLを盗む、モバイルユーザーをギャンブルや成人向けコンテンツサイトにリダイレクトする、またはサイト所有者の同意なしにトラフィックを広告で収益化する機能を備えています。
対策
Socketは、以下の措置を推奨しています:
- 悪意のあるテーマをすぐに削除する
- userstat.net、union.macoms.la、23.225.52.67:4466、およびcre-ads.comへのアウトバウンドトラフィックを監査する
- jQueryや他のベンダーのJavaScriptに追加またはインラインで暗号化されたコードがないか、特に整合性チェックが欠如している場合、厳密に調査する
結論
これらのパッケージは、Vietnameseのストリーミングエコシステムに対する供給チェーン脅威を形成しています。サイト所有者は、これらのパッケージをすぐに削除し、潜在的な脅威を調査する必要があります。