2025年7月4日にアップロードされた10個のタイプミスを意図的に使ったnpmパッケージが、Windows、Linux、macOSシステム全体で機密データを狙うインフォスティーラーをダウンロードしていることが判明しました。これらのパッケージは、人気のライブラリを模倣し、複数の難読化層により検知を回避し、約10,000回のダウンロードを蓄積しました。サイバーセキュリティ企業Socketがこの脅威を報告し、パッケージがレジストリで依然として利用可能であると指摘しています。
2025年7月4日、脅威アクターがnpmレジストリに10個の悪意あるパッケージをアップロードし、TypeScript、discord.js、ethers.js、nodemon、react-router-dom、zustandなどの正当なソフトウェアをタイプスクワッティングで偽装しました。これらのパッケージ—typescriptjs、deezcord.js、dizcordjs、dezcord.js、etherdjs、ethesjs、ethetsjs、nodemonjs、react-router-dom.js、zustand.js—は、本物の名前の検索結果に表示されることで開発者を騙してインストールさせました。
インストール時、postinstallスクリプトが活性化され、非表示のターミナルを生成して'app.js'を実行し、気づかれないようウィンドウをクリアします。このローダーは4つの難読化層を使用します:自己解凍evalラッパー、動的キーのXOR復号、URLエンコードされたペイロード、および強力な制御フローの難読化。ターミナルに偽のASCII CAPTCHAを表示して正当性を装い、被害者のジオロケーションとシステムフィンガープリントをコマンド・アンド・コントロールサーバーに送信します。
マルウェアは次に、ホストOSに適した24MBのPyInstallerパッケージされたインフォスティーラーバイナリをダウンロードします。このツールは、システムのキーリングから認証情報を抽出します。Windows Credential Manager、macOS Keychain、およびLinuxのSecretService、libsecret、KWalletなどのオプションを含みます。また、ChromiumベースおよびFirefoxブラウザのプロファイル、保存されたパスワード、セッションクッキー、共通ディレクトリのSSHキー、およびOAuth、JWT、APIキーなどのトークンを対象とします。
盗まれたデータはアーカイブに圧縮され、/var/tmpまたは/usr/tmpにステージングされた後、攻撃者のサーバー195.133.79.43にエクスフィルトレートされます。Socketのnpmへの報告にもかかわらず、パッケージは2025年10月末時点でまだ利用可能でした。専門家は、影響を受けた開発者にパッケージの削除、全認証情報のローテーション、および信頼できる発行元からのソースの検証を推奨し、侵害を防ぐよう促しています。