概要
悪意のあるNPMパッケージが、北朝鮮に関連するPylangGhostリモートアクセストロイア(RAT)を拡散する新たなソフトウェア供給チェーンキャンペーンを開始しました。このキャンペーンは、Windows、Linux、macOSシステムを対象としています。
攻撃の詳細
最初の悪意のあるバージョンは2026年2月末に登場し、@jaime9008/math-service 1.0.1-1.0.2とreact-refresh-update 1.0.1-1.0.4が該当します。これらのパッケージは、通常の開発やCIビルド中に攻撃者が制御するコードを実行します。
攻撃の仕組み
悪意のあるJavaScriptローダーは、Base64エンコードとXOR暗号化を使用して隠ぺいされます。このローダーは、malicanbur[.]proドメインからプラットフォーム固有のペイロードをダウンロードし、実行します。
PylangGhost RATの詳細
PylangGhostは、PythonベースのRATで、Cisco Talosが2025年中頃に初めて文書化したものです。このRATは、多くのブラウザ拡張機能や暗号通貨ウォレットからクッキーとシークレットを盗む能力を持っています。
対策
- プロジェクトで
react-refresh-updateと@jaime9008/math-serviceを調査し、1.0.1-1.0.4と1.0.1-1.0.2のバージョンを削除またはロールバックする。 - 出力トラフィックを
malicanbur[.]proと173.211.46[.]22:8080にブロックする。 - 一時ディレクトリからの
start.vbsとmacspatch.shの実行を検索する。 - PylangGhostのPythonモジュール、特に
config.pyとnvidia.pyをスキャンする。
今後、組織は依存関係のバージョンを固定し、厳格なロックファイルを有効にし、パッケージの内容とインストール時の動作を検査する自動化された供給チェーンセキュリティツールを使用することを推奨します。