北朝鮮アクターら、npmパッケージ67件に新たなマルウェアXORIndexを潜ませる | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 北朝鮮アクターら、npmパッケージ67件に新たなマルウェアXORIndexを潜ませる

デイリーサイバーアラート

DDoS

Silobreaker-CyberAlert

北朝鮮

北朝鮮アクターら、npmパッケージ67件に新たなマルウェアXORIndexを潜ませる

佐々山 Tacos

佐々山 Tacos

2025.07.16

7月16日:サイバーセキュリティ関連ニュース

北朝鮮アクターら、npmパッケージ67件に新たなマルウェアXORIndexを潜ませる

BleepingComputer – July 15, 2025

北朝鮮の脅威アクターらが、npm上に67件の悪意あるパッケージを植え込み、新たなマルウェア「XORIndex」を開発者のシステムへ配布しようとしていたという。パッケージセキュリティ企業のSocketが報告した。

Socketによれば、合計17,000回以上ダウンロードされているこれらのパッケージは、4月から観測されている「Contagious Interview」の活動の一環としてアップされたものだとみられるという。Contagious Interviewは北朝鮮が支援するキャンペーンで、主な標的は暗号資産系開発者。偽の求人広告でこうしたターゲットを誘い込み、採用プロセスに必要であると見せかけて有害なコードを実行させることを特徴とする。Contagious Interviewのアクターらは、先月にも35件の有害パッケージをnpmに忍び込ませ、インフォスティーラーやバックドアを開発者のデバイスへ展開しようとしていたことがわかっている。

関連記事

デイリーサイバーアラート

APT

Silobreaker-CyberAlert

サプライチェーン

北朝鮮関連のサプライチェーン攻撃、35件のnpmパッケージで開発者を標的に

佐々山 Tacos

佐々山 Tacos

2025.06.26

APT

Silobreaker-CyberAlert

サプライチェーン

今回新たに発見された67件のパッケージには、正規のソフトウェアプロジェクトやライブラろを模倣しているものが見受けられるが、これらをインストールすると、XORIndex Loaderを起動させるための「postinstall」スクリプトが実行されてしまうという。この新たなツールは、過去の攻撃ですでに観測されている別のマルウェアドロッパー「HexEval Loader」と併用されており、被害者をプロファイリングするためにホストデータを収集してC2へ送る役目を果たす。またC2のレスポンスを受け、Contagious Interviewとの関連が指摘されるBeaverTailやInvisibleFerretバックドアなど、追加のペイロードの実行にも寄与。こうしたマルウェアの投下により、攻撃者はデータを抜き取ったり、さらなるペイロードをダウンロードしたりできるようになる。

Socketの研究者らによると、北朝鮮ハッカーらは古いツールと新たなツールを組み合わせて検出回避を目論んでおり、npmが悪性パッケージを一掃する度に、また異なるnpmアカウントとパッケージ名を用意して再度侵害を試みるのだという。同社は問題のある67件のパッケージについてnpmに報告済みであるものの、一部はまだリポジトリ上で入手可能なままである恐れがある。またこれらが削除されたとしても、今後も新たに公開されるパッケージによって新バージョンのローダーの展開が試みられる恐れがあるとのこと。

関連記事

脅威アクター

APT

Lazarus

イラン

IT技術者の採用や応募を装った北朝鮮脅威アクターの直近の動向

Tamura

Tamura

2024.12.25

APT

Lazarus

イラン

CloudflareがブロックしたDDoS攻撃件数、早くも2024年の合計数を上回る

SecurityWeek – July 15, 2025

Cloudflareは15日、2025年第2四半期のDDoS脅威レポートを公開。今年前半に同社がブロックしたDDoS攻撃の件数が、2024年全体を通じてブロックされた件数をすでに上回ったことなどを報告した。

レポートによると、2024年に同社がブロックしたHTTPおよびレイヤ3/4 DDoS攻撃の件数は2,130万件。これに対し2025年前半の件数は、すでに2,780万件に達しているという。そのうち2,000万件以上は第1四半期に発生しており、18日間に及ぶDDoSキャンペーンでは同社自身のインフラや他の重要インフラが標的になったとされる。

同社はまた、強度が1Tbpsを超えるハイパーボリューム型攻撃の急増についても報告。第2四半期においてこのタイプの攻撃は6,500件以上ブロックされており、これにはピーク時の強度が過去最高レベルの7.3Tbpsに達するものもあったという。

国別で見ると、第2四半期に最も狙われる頻度が高かったのは中国で、これにブラジルとドイツが続く。業界別では電気通信セクターの組織とインターネット企業、IT企業がトップとなる中、前回38位だった農業部門が今回は8位へと急激なランクアップを見せたとのこと。

【無料配布中!】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ