Last Updated on 2025-06-09 07:57 by admin
2025年6月6日午後9時33分(GMT)、サイバーセキュリティ企業Aikido Securityが、npmとPyPIエコシステムを標的とした大規模なサプライチェーン攻撃を発見した。
攻撃者はGlueStackに関連する17個のReact Nativeパッケージを侵害し、合計で週間約100万回のダウンロード数を記録するこれらのパッケージにマルウェアを注入した。
影響を受けたパッケージには@gluestack-ui/utilsや@react-native-aria/focusなど17個が含まれ、lib/commonjs/index.jsファイルの変更を通じてリモートアクセストロイの木馬(RAT)が仕込まれた。
このマルウェアはシェルコマンドの実行、スクリーンショット取得、ファイルアップロード機能に加え、システム情報収集(ss_info)とパブリックIP取得(ss_ip)の新機能を持つ。
同時期にSocketは、npmで2つの破壊的パッケージexpress-api-syncとsystem-health-sync-apiを発見し、これらはアプリケーションディレクトリ全体を削除するワイパー機能を持つ。
さらにPyPIでは、Instagram成長ツールを装ったPythonパッケージimad213が発見され、3,242回ダウンロードされてユーザーの認証情報を10の異なるボットサービスに送信していた。
From: 
New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally
【編集部解説】
攻撃者は「lib/commonjs/index.js」ファイルへの変更を通じてマルウェアを注入しました。この手法が特に効果的なのは、JavaScriptの動的な性質を悪用している点にあります。開発者が通常確認するパッケージの表面的な機能は正常に動作するため、バックグラウンドで実行される悪意のあるコードに気づきにくいのです。
注目すべきは、今回のトロイの木馬が先月侵害された「rand-user-agent」パッケージと類似のコードを使用していることです。これは同一の脅威アクターが関与している可能性を示唆しており、組織的な攻撃キャンペーンの一部である可能性があります。
持続性メカニズムの脅威
このマルウェアの最も危険な側面は、その持続性メカニズムです。Aikido Securityの声明によると、「メンテナーがパッケージを更新した後でも、攻撃者は感染したマシンへのアクセスを維持する」とされており、従来のパッチ適用による対策だけでは不十分であることが明らかになっています。
破壊的パッケージの新たな脅威
Socketが発見した2つのnpmパッケージは、従来の情報窃取や暗号通貨マイニングとは異なる破壊的な目的を持っています。特に「system-health-sync-api」は、SMTPを使用した隠密な通信チャネルを確立し、攻撃者制御のメールボックス(anupm019@gmail[.]com)に重要なイベント情報を送信します。
このパッケージは「/_/system/health」と「/_/sys/maintenance」エンドポイントを登録し、「HelloWorld」キーを使用してプラットフォーム固有の破壊コマンドを実行する仕組みを持っています。
エコシステム横断型攻撃の新たな脅威
今回の攻撃で特に注目すべきは、npmとPyPIという異なるエコシステムを同時に標的とした点です。PyPIで発見された「imad213」パッケージは、Netlify経由のキルスイッチ機能を実装し、「pass.txt」ファイルの内容が「imad213」と一致する場合のみ実行される巧妙な仕組みを持っています。
このパッケージは認証情報を「credentials.txt」ファイルにローカル保存した後、10の異なるボットサービスに送信します。これらのサービスの一部は2021年6月に登録されたトルコのInstagram成長ツールネットワークにリンクしており、長期的な攻撃インフラの存在を示唆しています。
セキュリティ対策の進化の必要性
従来のセキュリティ対策は、既知の脅威パターンに基づく検出に依存していました。しかし、今回のような攻撃では、正当なパッケージの機能を維持しながら悪意のあるコードを隠蔽する手法が使われており、新たな検出アプローチが求められています。
特に、SMTP通信を使用したデータ流出は、多くのファイアウォールが送信メールトラフィックをブロックしないため検出が困難です。このような隠密チャネルの監視強化が急務となっています。
開発者コミュニティへの長期的影響
この攻撃が開発者コミュニティに与える影響は多面的です。短期的には、パッケージの信頼性に対する不安が高まり、依存関係の管理により慎重なアプローチが求められるでしょう。
長期的には、オープンソースエコシステムのガバナンス体制の見直しが不可避となります。現在のnpmやPyPIの審査体制では、このような巧妙な攻撃を事前に防ぐことは困難であり、より高度な自動検出システムや人的審査の強化が必要になるかもしれません。
【用語解説】
サプライチェーン攻撃
ソフトウェア開発において、信頼されている第三者のライブラリやパッケージを侵害し、それを利用する下流の組織やユーザーを標的とする攻撃手法である。
リモートアクセストロイの木馬(RAT)
攻撃者が感染したコンピュータを遠隔操作するためのマルウェアで、シェルコマンドの実行、ファイルのアップロード、スクリーンショットの取得などが可能である。
認証情報ハーベスティング
攻撃者がユーザー名やパスワードなどのログイン情報を窃取する悪意のある活動で、主にフィッシングメールや偽のログインページを通じて実行される。
ワイパーマルウェア
感染したデバイス上のファイルを削除したり、データを破壊したりすることを目的として設計された悪意のあるソフトウェアである。
Base64エンコーディング
バイナリデータをテキスト形式で表現するためのエンコーディング方式で、マルウェアでは悪意のあるコードを難読化するために使用される。
SMTP(Simple Mail Transfer Protocol)
電子メールの送信に使用される標準的な通信プロトコルで、攻撃者がデータを流出させる隠密チャネルとして悪用される場合がある。
キルスイッチ
マルウェアの実行を遠隔で停止または制御するためのメカニズムで、攻撃者が外部サーバー上のファイルを変更することで動作を制御できる。
認証情報ロンダリング
盗まれたログイン情報を複数のサービスに分散させることで、その起源を隠蔽する手法である。
【参考リンク】
npm(外部)
JavaScriptのパッケージマネージャーで、200万以上のパッケージを持つ世界最大のソフトウェアレジストリ
Python Package Index (PyPI)(外部)
Pythonの公式サードパーティソフトウェアリポジトリで、53万以上のPythonパッケージをホスト
Socket(外部)
オープンソース依存関係の脆弱性と悪意のあるパッケージから開発者を保護するセキュリティプラットフォーム
Aikido Security(外部)
コード、コンテナ、クラウド環境のセキュリティを強化する包括的なソフトウェアセキュリティプラットフォーム
GlueStack(外部)
React Native、Next.js、Expo、React向けに設計された、開発プロセスを効率化するツールスイート
Netlify(外部)
静的サイトホスティングとサーバーレス機能を提供するクラウドプラットフォーム
【参考動画】
【参考記事】
What is a RAT (Remote Access Trojan)? | Definition from TechTarget(外部)
リモートアクセストロイの木馬(RAT)の定義と動作メカニズムについて詳細に解説
What Is a Supply Chain Attack? – Zscaler(外部)
サプライチェーン攻撃の定義、種類、影響について包括的に説明した解説記事
Supply Chain Compromises Through Node.js Packages | Mandiant(外部)
Node.jsパッケージを通じたサプライチェーン侵害について、Mandiantによる詳細な分析レポート
【編集部後記】
今回のサプライチェーン攻撃は、私たちが日常的に使用している開発ツールの信頼性について根本的な問いを投げかけています。皆さんの開発現場では、パッケージの依存関係をどのように管理されていますか?
また、オープンソースエコシステムの利便性と安全性のバランスについて、どのような対策を講じていらっしゃるでしょうか。この事案を機に、ぜひ皆さんの組織でのセキュリティ対策について見直してみてはいかがでしょうか。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
