概要
ハッカーは、偽のGeminiテーマnpmパッケージを使用して、Claude、Cursor、Windsurf、PearAIなどのAIコーディングツールユーザーからトークンやシークレットを盗んでいる。
背景
2026年3月20日、npmユーザ「gemini-check」がgemini-ai-checkerと名付けたパッケージをアップロードした。このパッケージはGoogle Gemini AIトークンの検証ができると主張していた。
詳細
この偽のパッケージは、Vercelホストされたエンドポイントserver-check-genimi.vercel.appに接続し、追加のJavaScriptをダウンロードおよび実行する。さらに、関連する悪意のあるパッケージexpress-flowlimitとchai-extensions-extrasも存在しており、数百回のダウンロードがあり、2026年4月初旬まで利用可能だった。
配布とC2行動
gemini-ai-checkerは、典型的なSECURITYファイルやドキュメンテーションファイルを含む、信頼性のある現代のNode.jsプロジェクトのように見えている。そのコマンドアンドコントロール(C2)設定はlib/config.jsに存在し、ステージングドメイン、パス、バージョン、およびベアラーテークンが変数として分割されている。
マルウェアの構造
このパッケージは完全にメモリ内に保持され、ディスクへの書き込みを避けるため、静的または伝統的なアンチウイルス検出を回避する。さらに、Vercelインフラストラクチャに関連した2つの姉妹パッケージが引き続き利用可能であり、インストールされている。
AIコーディングツールへの標的化
このマルウェアは、Cursor AI IDEやAnthropic Claude Codeなどの人気のあるAI開発ツールのディレクトリを明確に探している。これらのAPIキーとトークンを収集することで、攻撃者は高価なAIサービスを利用したり、プロプライエタリコードを盗んだりすることができる。
対策
- 監視と制限:Vercelホストされたインフラストラクチャへのアウトバウンド接続を監視し、不審なパッケージの動作を検出する。
- 報告と削除:新しく公開されたnpmパッケージが人気のあるAIブランドを偽装している場合や、READMEコンテンツと依存関係に矛盾がある場合は迅速に報告し、削除を要求する。
- 開発者への注意点:インストール前にnpmパッケージのドキュメンテーションの不整合、怪しいネットワークコード、およびインストール後の動作を確認すること。