セキュリティ企業 Koi は、PhantomRaven と呼ばれるキャンペーンを発見し、8 月以降 NPM レジストリに 126 の悪意あるパッケージを氾濫させました。これらのパッケージは 86,000 回以上ダウンロードされ、信頼できないサイトからの未検証依存関係を許可する機能を悪用しています。2025 年 10 月末時点で、約 80 のパッケージがまだ利用可能でした。
攻撃者は NPM パッケージリポジトリの脆弱性を悪用し、2025 年 8 月以降、100 以上の認証情報窃取パッケージをアップロードしました、とセキュリティ企業 Koi によると。このキャンペーンは PhantomRaven として追跡され、NPM の Remote Dynamic Dependencies (RDD) 機能を使用して 126 の悪意あるパッケージを配布しました。このメカニズムにより、パッケージは信頼できないドメイン(暗号化されていない HTTP サイトを含む)から自動的にコードをダウンロードして実行でき、通常のセキュリティチェックを回避します。
「PhantomRaven は、洗練された攻撃者が伝統的なセキュリティツールの盲点を悪用する能力が [向上] していることを示しています」と Koi の Oren Yomtov が書いています。「Remote Dynamic Dependencies は静的解析では見えません。」標準的な依存関係とは異なり、NPM の信頼できるインフラストラクチャから取得され可視化されるのに対し、RDD はスキャナーがしばしば見逃す「不可視」のコードを引き出します。悪意あるパッケージは「0 Dependencies」として表示されていましたが、攻撃者制御の URL から有害なものを取得していました。例えば http://packages.storeartifact.com/npm/unused-imports です。
これらの依存関係はインストールごとに新鮮にダウンロードされ、キャッシュやバージョン管理なしで、潜在的な標的型攻撃を可能にします。攻撃者は IP アドレスに基づいてペイロードをカスタマイズ可能 — 研究者には無害なコードを提供しつつ、企業ネットワークにマルウェアを配信 — または検知を回避するために悪意ある動作を遅らせることもできます。盗まれたデータには環境変数、GitHub、Jenkins、NPM の認証情報が含まれ、継続的インテグレーションとデリバリー環境の詳細も含まれます。エクスフィルトレーションは HTTP リクエスト、JSON、Websockets を通じて冗長的に行われます。
多くのパッケージ名は AI チャットボットが「幻覚」するものを模倣しており、開発者が依存関係の提案にこうしたツールに頼る点を悪用しています。NPM の担当者はこの慣行に関する問い合わせに回答しませんでした。Koi は侵害の兆候を確認するための投稿をチェックし、影響を受けたシステムをスキャンすることを推奨しています。