-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
データや暗号資産を盗む有害なnpmパッケージやVS Code拡張機能、先週だけで70件超報告される
The Hacker News – May 26, 2025
オープンソースリポジトリを悪用したマルウェア配布の試みがサプライチェーンを脅かし続ける中、悪意あるnpmおよびVS Codeパッケージの数は先週報告されたものだけでも合計70件超に上ったという。
ネットワーク/ホストデータを窃取する60件超の有害npmパッケージ
Socketのセキュリティ研究者Kirill Boychenko氏が23日に報告した内容によると、3つの異なるアカウント(bbbb335656、cdsfdfafd1232436437、sdsds656565。現在は削除済み)のもとで公開された合計60件のnpmパッケージに、ホスト名やIPアドレス、DNSサーバー、ユーザーディレクトリを収集してDiscordのWebhookへ抽出する性能が備わっていたことがわかったという。公開から削除されるまでの11日間の間に合わせて3,000回以上ダウンロードされたこれらのライブラリは、Windows、macOS、Linuxのいずれかのシステムに対応する有害スクリプトを含んでおり、このスクリプトにはベーシックなサンドボックス回避機能も備わっていたとされる。
React、Vue、Viteのエコシステムを狙う8件の有害npmパッケージ
5月22日には、上記とは別の有害npmパッケージ8件についてのレポートをSocketがリリース。これらのパッケージはReact、Vue.js、Vite、Node.jsなど広く使用されているJavaScriptフレームワークおよびオープンソースのエディターQuill向けのヘルパーライブラリに見せかけてあるものだが、実際には、データの破損、重要ファイルの削除、システムのクラッシュといった破壊的な性能を持つペイロードを展開するという。
<問題のパッケージ>
- vite-plugin-vue-extend
- quill-image-downloader
- js-hood
- js-bomb
- vue-plugin-bomb
- vite-plugin-bomb
- vite-plugin-bomb-extend
- vite-plugin-react-extend
この有害活動の実行者とされるのが「xuxingfeng」という脅威アクター。同アクターは、無害で正当なパッケージも5件公開しており、「悪意あるパッケージと有用なパッケージの両方をリリースするという二面的なアプローチは、有害なパッケージが信頼され、インストールされる可能性を高めるための『本物らしい外面』を作り出している」とSocketの研究者は話している。
Office 365の認証情報狙うフィッシングでnpmパッケージが利用された事例
5月20日にFortraの研究者によって報告されたのは、従来型のフィッシングメールと、有害npmパッケージの一部であるJavaScriptを組み合わせた新たな攻撃キャンペーン。この攻撃はまず、有害な.htmファイルを含むフィッシングメールから始まる。同ファイルは一見無害に思えるが、実は暗号化されたコードが埋め込まれており、これが復号されると当該ファイルは人気のCDN「jsDelivr」上でホストされるJavaScriptコードを指し示すという。このJavaScriptファイルは、典型的なオープンソースのライブラリを装った悪意あるnpmパッケージの一部であり、フィッシングのプロセスを通じて通信が確立されると、このパッケージがロードされて第二段階のスクリプトを配布。ターゲットユーザーのメールアドレスを用いてパーソナライズされたフィッシングリンクが作成され、ユーザーは認証情報の窃取を意図した偽のOffice 365ログインページへと誘導されるという。
Solidityの開発者を狙う悪意あるVS Code拡張機能
5月21日、Datadogの研究チームは、「MUT-9332」という脅威アクターによるものとされる有害なVS Code拡張機能を用いた活動について報告。これによると、マイクロソフトのVisual Studio Code マーケットプレース上で発見されたsolaibot、among-eth、blankebesxstnionの各拡張機能は、Solidityの開発者を狙って暗号資産ウォレットの認証情報を盗み出す性能を有していたという。
いずれも正当な拡張機能のように見せかけてあり、有害コードは本物の機能の内側に隠されている。またC2ドメインにはSolidityと関連しているように見えるドメインが使われるため、悪意あるものだというフラグを立てられにくくなっているそう。さらにDatadogの研究者は、「3件すべての拡張機能が、多段階の難読化されたマルウェアが絡む複雑な感染チェーンを採用している」と指摘。このうち1つは、インターネットアーカイブのサイト上でホストされた画像ファイル内に隠したペイロードを使用するという。いずれの拡張機能も、現在ではテイクダウンされているとのこと。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
