セキュリティ企業 Socket は、npm リポジトリで Windows、macOS、Linux システムの開発者を標的とする 10 個の悪意のあるパッケージを発見しました。これらのパッケージは 7 月以来利用可能で、タイポスクワッティングと洗練された難読化を使用して infostealer マルウェアをインストールします。マルウェアはブラウザの認証情報、SSH キー、設定ファイルからデータを盗み、攻撃者にデータを転送します。
7 月初めから、JavaScript パッケージマネージャーで 10 個の悪意のある npm パッケージが流通し、10 月末頃に削除されるまでに 9,900 回のダウンロードを記録しました。ソフトウェアサプライチェーンのセキュリティに特化した企業 Socket によって発見されたこれらのパッケージは、TypeScript の代わりに typescriptjs など、正当なものを模倣したタイポスクワッティングの名前を使用しています。他には deezcord.js、dizcordjs、dezcord.js、etherdjs、ethesjs、ethetsjs、nodemonjs、react-router-dom.js、zustand.js などです。
感染は、package.json ファイル内の postinstall スクリプトを通じてインストール中に始まります。このスクリプトは、OS 固有の隠しターミナルウィンドウを開き、app.js ファイルを実行します。app.js には、URL エンコーディングや 16 進数および 8 進数の計算を含む switch 文などの多層的な難読化が含まれており、悪意のあるルーチンを隠します。正当性を装うために、ASCII アートで描かれた偽の CAPTCHA を表示し、ユーザーの入力は単なる気晴らしとして機能します。
活性化されると、マルウェアはターゲットの IP アドレスを攻撃者のサーバーに送信し、プラットフォーム固有のバイナリをダウンロードします。次に PyInstaller を使用して Python 実行に切り替え、data_extracter という非難読化アプリケーションを実行します。このツールはシステムディレクトリをスキャンして機密データを探し、Firefox および Chromium ブラウザのプロファイル、SSH キー、~/.aws/credentials 内の AWS 認証情報、SQLite データベース、JSON 設定ファイル、ブラウザクッキー、キーリング、認証トークンを含みます。盗まれた情報は ZIP ファイルに圧縮され、攻撃者に送信されます。
パッケージは 10 月末以降 npm で利用できなくなりましたが、3 か月の利用可能性と高度な難読化は、検知されていないバリアントの懸念を引き起こしています。この事件は、npm のサプライチェーン攻撃に対する継続的な脆弱性を強調し、開発者がパッケージを検証し、インストールを厳密に監視するよう促しています。