マルウェアパッケージ

慢雾の発表によると、安全機関MistEyeは、npm、PyPI、crates.ioに悪意のあるパッケージを公開することで、暗号通貨、DeFi、Solana、Sui/MoveおよびAI分野の開発者を標的としたクロスレジストリサプライチェーン攻撃事件を検出しました。この攻撃活動には、34以上の悪意のあるパッケージと384以上の関連バージョンが含まれています。攻撃者は暗号通貨ウォレット、SSHキー、クラウド認証情報、GitHub/AWSトークン、ブラウザデータ、環境変数および開発者の機密情報を盗む可能性があります。一部の悪意のあるペイロードは、.cursorrules、CLAUDE.md、Gitフック、シェルフック、cron、systemdおよびSSHを通じて持続的な駐留を試みています。開発者には、影響を受けたパッケージを直ちに削除し、影響を受けたシステムを隔離し、ログを保持し、露出した認証情報をローテーションし、クリーンなイメージからCI実行環境と開発者マシンを再構築し、GitHub、クラウドサービス、SSHおよびウォレットの活動記録を確認することをお勧めします。

安全会社 Socket Security は、TrapDoor と呼ばれる暗号通貨窃盗活動が npm、PyPI、Crates.io などのソフトウェアパッケージリポジトリで積極的なサプライチェーン攻撃を開始していることを明らかにしました。現在、34 の悪意のあるパッケージと 384 のバージョンおよびコンポーネントが発見されており、攻撃者は各エコシステムに新しいバージョンを継続的にプッシュしています。TrapDoor は主に暗号通貨、DeFi、AI、セキュリティ分野の開発者をターゲットにしており、ウォレット、SSH キー、クラウド認証情報、GitHub トークン、ブラウザデータ、環境変数、API キーを盗みます。Socket が検出した悪意のあるバージョンの中央値検出時間は 5 分 27 秒で、最も早い検出はリリース後 58 秒で発生しました。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。