Qixの人気npmパッケージ、フィッシングメール攻撃を受け侵害される

nosa

2025.09.12

ウィークリー・サイバーラウンド・アップ

Qixの人気npmパッケージ、フィッシングメール攻撃を受け侵害される

Aikido – September 10, 2025

AikidoとSocketの研究者により、18件のnpmパッケージ内に有害なコードが発見された。1週間で計20億ダウンロードを記録するこれらの人気パッケージには、ブラウザ内の暗号資産やWeb3.0のアクティビティを密かに傍受し、ウォレットのやり取りを操作するだけでなく、支払い先を書き換えるコードが追加されていた。メンテナのJosh Junon（通称「Qix」）氏はフィッシング攻撃の被害に遭ったことを認めており、侵害されたパッケージのクリーンアップ作業を進めていると述べた。そのほかにも、別のメンテナの侵害されたパッケージが特定されている。

GPUGate、有害ファイル配布にGoogle広告とGitHub Desktopを利用

Arctic Wolf – September 5, 2025

Arctic Wolfの研究者は2025年8月19日、複数の脅威アクターが「GPUGate」と呼ばれる新たな攻撃手法を活用し、GitHubのリポジトリ構造とGoogle広告を悪用した上で、偽装ドメインでホストされた有害ファイルをダウンロードさせていることを確認した。配布された特異なマルウェアは、Microsoftソフトウェアインストーラーのファイルサイズを128MBに増しておくことで既存のセキュリティサンドボックスの大半を回避。さらにGPUを使って復号ルーチンを管理しているため、物理GPUが未搭載のシステムではペイロードの暗号化は維持される。このキャンペーンは西ヨーロッパの組織・企業のみ、とりわけIT部門を標的としている。

GhostAction、GitHubリポジトリに有害ワークフローを挿入してシークレットを窃取

GitGuardian – September 5, 2025

2025年9月5日、GitGuardianが大規模なサプライチェーン攻撃「GhostAction」を発見した。この攻撃により、817件のリポジトリにまたがるGitHubユーザー327人が影響を受けている。攻撃者は正当なワークフローファイルからシークレットを列挙すると、そのシークレット名を有害なワークフローにハードコードして標的のリポジトリに注入。リモートエンドポイントへのHTTP POSTリクエストを介し、PyPIやnpm、Docker Hubのトークンなど計3,325件のシークレットを盗み出していた。複数企業のSDKポートフォリオ全体が侵害され、悪意のあるワークフローがそれぞれのPython、Rust、JavaScript、Go言語のリポジトリに一斉に影響を与えた。この発見を受け、影響を受けたプロジェクトとユーザーには警告が発令され、すでに計100件のリポジトリで不正な変更が破棄されている。

脆弱な旧式ネットワーク機器を狙うスキャンが急増

Eclypsium – September 3, 2025

旧型の脆弱なネットワーク機器を対象とした不審なスキャンが急増していると、Eclypsiumの研究者が警告を発した。コンシューマーおよび法人向けの機器がスキャンによって影響を受け、特にCisco Small Business RVシリーズ、 Linksys LRTシリーズ、Araknis Networks（AN-300-RT-4L2W）ルーターを狙った侵害が明らかになっている。影響を受けた機器のほぼすべてがEoL（サポート終了）を迎えており、一部サポート延長を行うLinksysを除き、今後ファームウェアが更新されることはない。

Facebook上のマルバタイジングキャンペーン、有害なブラウザ拡張機能を宣伝

Bitdefender – September 9, 2025

Bitdefenderの研究者は、Facebook上で展開される新たなマルバタイジングキャンペーンの詳細を明らかにした。このキャンペーンで使用される不正広告では、正規版に見せかけたブラウザ拡張機能のダウンロード・インストール方法を動画チュートリアルで解説。このチュートリアルはFacebookの青い認証チェックマークや特別な機能が使えるようになると喧伝するものの、実際にはAI生成されたコードで実装したとみられるブラウザ拡張機能をインストールさせる。コードコメントや動画音声にはベトナム語が使用されていた。このブラウザ拡張機能はFacebookのセッションCookieやIPアドレスといったユーザーデータを窃取し、Telegramボットに送信。一部の亜種は盗んだアクセストークンを介してFacebook Graph APIに直接やり取りをするため、攻撃者は被害者のFacebookページ（旧Facebookビジネスアカウント）を特定することが可能になる。その後、アカウントは盗み出され、Telegramチャンネルで販売される。現在までにこの拡張機能を宣伝する不正広告は37件確認されており、すべて同じFacebookアカウントから発信されている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

序論
ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
マルチチャネルインテリジェンスの運用化における課題と関連リスク