概要
セキュリティ研究者が、Packagistの「ophimcms」名前空間で6つの悪意のあるComposerパッケージを発見しました。これらのパッケージは、OphimCMSというベトナム語のLaravel CMS向けのテーマを装っており、実際にはJavaScriptファイルに隠されたコードを含んでいます。このコードは、リダイレクト、データ窃取、広告の乱用、および解析回避のトリックを実行します。
影響を受けるパッケージ
- ophimcms/theme-dy
- theme-mtyy
- theme-rrdyw
- theme-pcc
- theme-motchill
- theme-legend
悪意のあるテーマの仕組み
これらのパッケージは、通常のjQueryライブラリに隠されたJavaScriptコードを追加することで、攻撃を実行します。一部のテーマでは、ユーザーの現在のページURLをuserstat.netにエクスフィラートし、他のテーマでは、モバイルユーザーをギャンブルや成人向けサイトにリダイレクトします。
インフラストラクチャと起源
これらのパッケージはophimcms GitHub組織から公開されており、その組織はdev@ophim.ccとopdlnf01@gmail.comという2つのアカウントで管理されています。
影響と対策
これらのテーマを使用しているサイトは、ユーザーがURLエクスフィラート、FUNNULL運営のモバイルリダイレクト、非公式な広告インジェクション、クリックハイジャック、および不要な解析追跡にさらされる可能性があります。OphimCMSを実行している管理者は、直ちにインストールされているテーマを審査し、6つの悪意のあるパッケージを削除し、JavaScriptバンドルに予期しないネットワーク呼び出しがないか確認する必要があります。
まとめ
この攻撃は、JavaScriptとCSSのバンドルが深くレビューされないCMSエコシステムで、同様の「テーマレベル」のサプライチェーン攻撃が継続的に発生する可能性があることを示しています。