Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
AIによって生成された画像

悪意のあるnpmパッケージが複数のプラットフォームで開発者の認証情報を盗む

AIによって生成された画像

2025年7月4日にアップロードされた10個のタイプミスを意図的に使ったnpmパッケージが、Windows、Linux、macOSシステム全体で機密データを狙うインフォスティーラーをダウンロードしていることが判明しました。これらのパッケージは、人気のライブラリを模倣し、複数の難読化層により検知を回避し、約10,000回のダウンロードを蓄積しました。サイバーセキュリティ企業Socketがこの脅威を報告し、パッケージがレジストリで依然として利用可能であると指摘しています。

2025年7月4日、脅威アクターがnpmレジストリに10個の悪意あるパッケージをアップロードし、TypeScript、discord.js、ethers.js、nodemon、react-router-dom、zustandなどの正当なソフトウェアをタイプスクワッティングで偽装しました。これらのパッケージ—typescriptjs、deezcord.js、dizcordjs、dezcord.js、etherdjs、ethesjs、ethetsjs、nodemonjs、react-router-dom.js、zustand.js—は、本物の名前の検索結果に表示されることで開発者を騙してインストールさせました。

インストール時、postinstallスクリプトが活性化され、非表示のターミナルを生成して'app.js'を実行し、気づかれないようウィンドウをクリアします。このローダーは4つの難読化層を使用します:自己解凍evalラッパー、動的キーのXOR復号、URLエンコードされたペイロード、および強力な制御フローの難読化。ターミナルに偽のASCII CAPTCHAを表示して正当性を装い、被害者のジオロケーションとシステムフィンガープリントをコマンド・アンド・コントロールサーバーに送信します。

マルウェアは次に、ホストOSに適した24MBのPyInstallerパッケージされたインフォスティーラーバイナリをダウンロードします。このツールは、システムのキーリングから認証情報を抽出します。Windows Credential Manager、macOS Keychain、およびLinuxのSecretService、libsecret、KWalletなどのオプションを含みます。また、ChromiumベースおよびFirefoxブラウザのプロファイル、保存されたパスワード、セッションクッキー、共通ディレクトリのSSHキー、およびOAuth、JWT、APIキーなどのトークンを対象とします。

盗まれたデータはアーカイブに圧縮され、/var/tmpまたは/usr/tmpにステージングされた後、攻撃者のサーバー195.133.79.43にエクスフィルトレートされます。Socketのnpmへの報告にもかかわらず、パッケージは2025年10月末時点でまだ利用可能でした。専門家は、影響を受けた開発者にパッケージの削除、全認証情報のローテーション、および信頼できる発行元からのソースの検証を推奨し、侵害を防ぐよう促しています。

関連記事

Seventy-three Microsoft open source packages were compromised late last week with malware that steals credentials from cloud services and developer tools. The malicious code activates when opened in AI coding agents.

AIによるレポート

Developer platform Socket has identified a malware known as TrapDoor that is targeting crypto and AI developers.

A ransomware group known as ShinyHunters exploited a critical zero-day flaw in Oracle’s PeopleSoft software to target about 100 organizations. The attackers stole gigabytes of data from victims, including the University of Nottingham, and issued extortion demands. Oracle has released a mitigation but not a full patch.

AIによるレポート

Google published proof-of-concept exploit code on Wednesday for a vulnerability in its Chromium browser that has gone unfixed for 29 months. The flaw affects Chrome, Microsoft Edge, and other Chromium-based browsers used by millions worldwide. It enables attackers to establish persistent connections for monitoring user activity and launching attacks.

このウェブサイトはCookieを使用します

サイトを改善するための分析にCookieを使用します。詳細については、プライバシーポリシーをお読みください。
拒否