NPM

悪名高い北朝鮮のハッキング・グループLazarusに関連する6つの悪意のあるパッケージがnpm(Nodeパッケージ・マネージャー)上で確認された。

330回ダウンロードされたこれらのパッケージは、アカウント認証情報を盗み出し、侵害されたシステムにバックドアを導入し、機密性の高い暗号通貨情報を抜き取るように設計されている。

Socket Research Teamはこのキャンペーンを発見し、以前から知られていたLazarusのサプライチェーン・オペレーションと関連付けた。

この脅威グループは、数百万人のJavaScript開発者が使用するnpmのようなソフトウェアレジストリに悪意のあるパッケージをプッシュし、受動的にシステムを侵害することで知られています。

GitHubや Python Package Index(PyPI)でも、同じ脅威グループによる同様のキャンペーンが発見されています。

この手口により、彼らはしばしば貴重なネットワークへの初期アクセスを得ることができる。場合によっては、Lazarusはこのアクセスを利用して、最近のBybit取引所からの15億ドルの暗号強奪のような、大規模な記録的な攻撃を行います。

npmで発見された6つのLazarusパッケージはすべて、開発者を騙して誤ってインストールさせるtyposquattingの手口を使っている:

  1. is-buffer-validator – 人気の is-buffer ライブラリを模倣し、認証情報を盗む悪意のあるパッケージ。
  2. yoojae-validator– 感染したシステムから機密データを抜き取るために使われる偽の検証ライブラリ。
  3. event-handle-package– イベント処理ツールを装っていますが、リモートアクセスのためのバックドアを配備しています。
  4. array-empty-validator – システムやブラウザの認証情報を収集するために作られた不正なパッケージ。
  5. react-event-dependency– React ユーティリティを装っていますが、開発者環境を侵害するためにマルウェアを実行します。
  6. auth-validator– 認証検証ツールを模倣し、ログイン認証情報やAPIキーを盗み出します。

パッケージには、暗号通貨ウォレットや、保存されたパスワード、クッキー、閲覧履歴を含むブラウザデータなどの機密情報を盗むように設計された悪意のあるコードが含まれています。

また、BeaverTailマルウェアやInvisibleFerretバックドアもロードされ、北朝鮮は以前、偽の求人でマルウェアのインストールを誘導するために展開した

Code snippet that downloads malware payloads
マルウェアのペイロードをダウンロードするコード・スニペット
Source:ソケット

「このコードは、ホスト名、オペレーティング・システム、システム・ディレクトリを含むシステム環境の詳細を収集するように設計されている

“それは、Chrome、Brave、およびFirefoxからログインデータ、およびmacOSのキーチェーンアーカイブのような機密ファイルを検索し、抽出するために、ブラウザのプロファイルを体系的に反復する”。

“注目すべきことに、このマルウェアは暗号通貨ウォレットも標的にしており、特にSolanaからid.jsonを、Exodusからexodus.walletを抽出している。”

Lazarusの6つのパッケージはすべてnpmとGitHubリポジトリでまだ利用可能であるため、脅威はまだ有効である。

ソフトウェア開発者は、プロジェクトに使用するパッケージを再チェックし、難読化されたコードや外部サーバーへの呼び出しのような不審な兆候を見つけるために、オープンソースソフトウェアのコードを常に精査することをお勧めします。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。