偽のnpmインストールメッセージがオープンソースサプライチェーン攻撃でRATマルウェアを隠す

概要

ReversingLabsは、新しい「Ghostキャンペーン」と呼ばれるオープンソースサプライチェーン攻撃において、攻撃者がnpm post-installスクリプトを利用して暗号通貨窃取型リモートアクセストロイアン（RAT）を静かに展開する手法を使用していると報告しています。

この攻撃では、実際には存在しないnpmインストールログを偽装することで、通常のパッケージインストールプロセスをフィッシングやマルウェア配布チャネルに変換します。これにより、開発者がこれらの活動をすぐに気付くことは難しくなります。

偽のnpmインストールログ：攻撃者は、通常のnpmインストールセッションに似た詳細なステータスメッセージを表示し、パッケージ名はランダムに選ばれたもので、実際には存在しない。
sudoパスワード要求：インストール後、攻撃者はユーザーにsudoパスワードの入力を求める。このとき、攻撃者はダウンローダーを静かに実行し、偽のログを表示しながら、最終的なマルウェアを取得します。
Telegramチャネルからのダウンロード：最終ステージのURLと一部のデクリプションキーは、攻撃者が制御するTelegramチャネルから取得されます。一部のバージョンでは、web3テーマの投稿に情報を隠す。

注意が必要なパッケージ：sudo要求を行うインストールプロセス、不自然な「最適化」メッセージの表示、インストール後にも外部コンテンツをダウンロードするパッケージはすべて危険と見なすべき。
自動サプライチェーンセキュリティツール：異常な挙動を検出するためにこれらのツールを使用することが推奨されています。

元記事: https://gbhackers.com/fake-npm-install-messages/