サイバーニュース.jp

世界のサイバーなニュースを配信

15以上の悪質なnpmパッケージがWindowsを悪用しVidarマルウェアを展開

カテゴリ:

概要:npmエコシステムを狙ったサプライチェーン攻撃

Datadog Security Researchは、npmエコシステムを標的とした高度なサプライチェーン攻撃を発見しました。この攻撃では、17の悪質なパッケージが23のリリースにわたり、WindowsシステムにVidarインフォスティーラーマルウェアを送り込むために設計されていました。MUT-4831として追跡されている脅威アクタークラスターによるこのキャンペーンは、npmベースの脅威における重大なエスカレーションを示しており、npmパッケージを介してVidarマルウェアが配布された初の公表事例となります。

悪質なパッケージは、正規のソフトウェア開発キットやライブラリを装っており、偽のTelegramボットヘルパー、アイコンライブラリ、CursorやReactのような人気プロジェクトのフォーク版などが含まれていました。npmレジストリ上では無害に見えるにもかかわらず、これらのパッケージはインストール時に自動的に実行されるpostinstallスクリプトを通じて破壊的なペイロードを実行します。

研究者たちは、これらのパッケージが削除されるまで約2週間npmレジストリに残り、その間に少なくとも2,240回ダウンロードされたことを発見しました。最も人気のある悪質なパッケージ「react-icon-pkg」は、削除されるまでに503回ダウンロードされました。

攻撃の発見と初期チェーン

Datadogのセキュリティ研究者は、2025年10月21日にGuardDog(パッケージコード内の疑わしい署名を特定するためのコマンドライン静的アナライザー)を使用してこのキャンペーンを検出しました。最初の検出では、パッケージ「custom-tg-bot-plan」に複数の悪意のある兆候がフラグ付けされました。これには、サイレントプロセス実行、疑わしいネットワークドメイン、自動インストールスクリプトが含まれていました。

10月下旬の2つのバースト期間中、キャンペーンの背後にいる2人の脅威アクター(npmアカウント「aartje」と「saliii229911」で活動)が、武器化されたパッケージを公開しているのが観測されました。

攻撃チェーンは、パッケージインストール中に実行される3段階のプロセスに従います。

  • 第一段階:postinstallスクリプトがbullethost[.]cloudドメインから暗号化されたZIPアーカイブをダウンロードします。
  • 第二段階:スクリプトはハードコードされたパスワードを使用してアーカイブを復号・展開します。
  • 第三段階:展開されたコンテンツから「bridle.exe」というWindows PEバイナリを実行し、その後クリーンアップ操作を行います。

キャンペーンの一部のバリエーションでは、package.jsonファイルに直接埋め込まれたPowerShellスクリプトが使用されており、脅威アクターが検出メカニズムを回避するために意図的に実装を多様化していることが示唆されています。

Vidarインフォスティーラー:第二段階のペイロード

すべての悪質なパッケージから抽出された実行可能ファイルは、Vidar v2インフォスティーラーであることが判明しました。これは、2018年にArkeiトロイの木馬の進化形として登場した悪名高い情報窃取マルウェアのGoコンパイル版です。従来のC/C++で書かれたVidarサンプルとは異なり、この亜種は被害者システムを侵害するための強化された機能を持つ新世代のマルウェアを表しています。

Vidarは実行されると、ブラウザの認証情報、Cookie、暗号通貨ウォレット、重要なシステムファイルなどの機密データを積極的に収集し、盗んだ情報をZIPアーカイブにまとめてコマンド&コントロールサーバーに送出します。

このVidar亜種の特徴は、ハードコードされたTelegramおよびSteamアカウントに依存してアクティブなC2ドメインを動的に取得するインフラストラクチャ発見メカニズムです。マルウェアはこれらのソーシャルメディアプロファイルを照会して、現在どのインフラストラクチャが稼働しているかを発見し、脅威アクターがパッケージの更新を必要とせずにコマンド&コントロールサーバーをローテーションできるようにします。

データ窃取が成功すると、Vidarは被害者システムから自身の痕跡をすべて削除するため、セキュリティチームにとって侵害後の検出とインシデント対応が著しく困難になります。

オープンソースエコシステムの脆弱性と対策

MUT-4831キャンペーンは、オープンソースパッケージエコシステムがサプライチェーン攻撃に対して依然として脆弱であることを浮き彫りにしています。両方の脅威アクターアカウントは新しく作成され、公開されるまでわずか数日間しか活動していませんでした。これは、この攻撃のために特別にインフラストラクチャが構築されたことを示しています。

発見後、npmは両アカウントを永久に禁止し、関連するすべてのパッケージを削除しましたが、それまでにマルウェアは何百ものシステムに到達していました。このキャンペーンは、脅威アクターがnpmが何百万ものダウンストリームユーザーにマルウェアを最小限の摩擦で配信するための信頼できる初期アクセスベクトルを提供することを学習したことを示しています。

DatadogのSupply-Chain Firewallテクノロジーは、既知の悪質なパッケージがインストールされる前にブロックすることで、高額なインシデント対応サイクルが始まる前に防ぐことができる緩和策の一つを提供します。

元記事: https://gbhackers.com/malicious-npm-packages/

投稿をさらに読み込む