Microsoftの脅威インテリジェンスは、不正なnpmパッケージが開発者および暗号資産ユーザーを狙ってリモートアクセス型トロイの木馬(RAT)を配布していることを発見しました。悪意のあるパッケージは、utils-terminal@3.2.1 および logger-active@3.2.1 と特定され、感染したシステムからキーストローク、スクリーンショット、暗号資産ウォレットの資格情報を盗み出します。攻撃者は、盗み取った情報を外部送信するためにHugging Faceのリポジトリを使用し、セキュリティチームの検知を難しくしています。このキャンペーンは、ブラウザベースの暗号資産ウォレット、秘密鍵、取引所API資格情報、クラウドサービス資格情報を含む開発者の作業端末を標的とします。今回の発見は、開発用マシンに機密資産を保存する開発者と暗号資産ユーザーに影響する、継続的なソフトウェア供給網リスクの一環です。
MicrosoftはRATマルウェアを配布する悪意のあるnpmパッケージを特定
Microsoftは、サイバー犯罪者が悪意のあるソフトウェアを隠した公開npmパッケージを通じて、開発者および暗号資産ユーザーを狙っていると警告しました。Microsoft Threat Intelligenceによると、utils-terminal@3.2.1 および logger-active@3.2.1 と特定された2つの侵害済みnpmパッケージが、感染したシステムから機密情報を盗み取れるリモートアクセス型トロイの木馬(RAT)を配布していることが判明したとのことです。
当該の悪意のあるパッケージは、キーストローク、スクリーンショット、暗号資産ウォレットの資格情報、その他の機密情報など、幅広いデータを収集するよう設計されていたと報じられています。npmはJavaScript開発者が最も広く利用するソフトウェアレジストリの一つであるため、この脅威は、多くのユーザーがアプリケーションやWebサービスを構築する際に、気づかないうちに侵害された依存関係をインストールしてしまうことで、広範囲に影響を及ぼす可能性があります。
攻撃者がHugging Face経由で盗んだデータを迂回させる
Microsoftは、攻撃者がデータの外部送信プロセスの一部として、人工知能および機械学習プロジェクトで人気のプラットフォームであるHugging Faceを使用したと説明しました。盗み取った情報を信頼されたプラットフォーム経由でルーティングすることで、従来の指揮統制サーバーとの通信よりも不審に見えにくくなり、セキュリティチームの検知がより難しくなる可能性があります。
マルウェアは暗号資産ウォレットと開発者の認証情報を標的にする
この脅威は、暗号資産の開発者および投資家にとって特に懸念されます。開発者の作業端末には、ブラウザベースの暗号資産ウォレット、秘密鍵、シードフレーズのバックアップ、取引所API資格情報、GitHubアクセス・トークン、クラウドサービス資格情報が含まれていることがよくあります。攻撃者がこれらの資産にアクセスできた場合、暗号資産の保有、開発環境、取引システム、そしてソースコードのリポジトリが侵害される可能性があります。
キャンペーンは過去の供給網攻撃と関連
Microsoftの調査結果は、ソフトウェア供給網を狙う攻撃の流れにも合致しています。5月、セキュリティ研究者はTrapDoorマルウェアのキャンペーンを発見しました。このキャンペーンは、npm、PyPI、Rustのリポジトリにまたがって多数の悪意のあるパッケージを通じて拡散していました。その作戦では、ウォレットデータ、クラウド資格情報、APIキー、SSHアクセスを盗み取ろうとすることで、暗号資産および人工知能の開発者を具体的に狙っていました。
最新の警告は、Microsoftによる別の直近の報告、暗号資産マイニング(クリプトジャッキング)マルウェアに関するものにも続いています。そのキャンペーンでは、攻撃者が不正な検索結果を仕込んだり、AIチャットボットのやり取りを操作したりして、ユーザーを偽のソフトウェアダウンロードへ誘導したとされています。インストールされると、悪意のあるプログラムは被害者の知るところなくシステム資源を利用して暗号資産を採掘しました。
セキュリティ専門家は認証情報のローテーションとパッケージの見直しを推奨
セキュリティ専門家は、開発者に対して新しくインストールしたパッケージを慎重に確認し、不審な依存関係を削除し、漏えいの可能性がある資格情報をローテーションし、許可されていない取引のためのウォレット活動を監視することを推奨しています。暗号資産ユーザーにも、インターネット接続されたデバイスにシードフレーズを保存しないこと、また承認する前にすべてのウォレット取引を徹底的に検証することが助言されています。
FAQ
Microsoftが発見した悪意のあるnpmパッケージは何ですか?
Microsoft Threat Intelligenceは、2つの侵害済みnpmパッケージとして utils-terminal@3.2.1 と logger-active@3.2.1 を特定しました。これらのパッケージは、感染したシステムからキーストローク、スクリーンショット、暗号資産ウォレットの資格情報、その他の機密情報を盗み取れるリモートアクセス型トロイの木馬マルウェアを配布します。
攻撃者は、感染したシステムから盗んだデータをどのように外部送信しますか?
攻撃者は、データの外部送信プロセスの一部として、人工知能および機械学習プロジェクトで人気のプラットフォームであるHugging Faceを使用しました。盗み取った情報を信頼されたプラットフォーム経由でルーティングすることで、悪意ある活動は従来の指揮統制サーバーとの通信よりも不審に見えにくくなり、セキュリティチームによる検知が難しくなります。
専門家は開発者にどのようなセキュリティ対策を推奨していますか?
セキュリティ専門家は、開発者に対して新しくインストールしたパッケージを慎重に確認し、不審な依存関係を削除し、漏えいの可能性がある資格情報をローテーションし、許可されていない取引のためのウォレット活動を監視することを推奨しています。暗号資産ユーザーには、インターネット接続されたデバイスにシードフレーズを保存しないこと、そして承認する前にすべてのウォレット取引を徹底的に検証することが勧められています。
