記事本文(要約)
サイバーセキュリティ研究者が、GlueStack関連の複数のパッケージを標的にしたサプライチェーン攻撃でマルウェアが配布されていることを報告しました。この攻撃により、攻撃者はシェルコマンドの実行、スクリーンショットの取得、ファイルのアップロードが可能になります。影響を受けたパッケージには、@gluestack-ui/utilsなどのバージョンが含まれ、これらのパッケージは合計で毎週約100万回ダウンロードされています。初めてのパッケージの妥協は2025年6月6日に検出されました。
また、Socketは”express-api-sync”と”system-health-sync-api”というnpmパッケージも発見し、これらは正規のユーティリティを装っていましたが、実際にはファイルの削除や情報の窃盗を行うマルウェアを含んでいます。他にも、Python Package Index (PyPI)で”imad213″というInstagramの資格情報を窃取するマルウェアが特定されており、これはBase64エンコーディングを使用して隠蔽されています。
これらの事例は、サプライチェーン攻撃における脅威の進化を示しており、マルウェアの持続性や破壊的な機能に注意が必要です。影響を受けたバージョンのロールバックが推奨されており、エンドユーザーや開発者が不意に危険なバージョンを使用しないよう警戒が求められています。
※この要約はChatGPTを使用して生成されました。
公開日: Sun, 08 Jun 2025 19:17:00 +0530
Original URL: https://thehackernews.com/2025/06/new-supply-chain-malware-operation-hits.html
詳細な技術情報
この文章に基づくセキュリティ分析は、以下のようになります。
CVE番号
記事内に特定のCVE番号は記載されていませんが、関連する脆弱性が発見されれば、将来的にCVEが割り当てられる可能性があります。
脆弱性の仕組みと攻撃手法
- サプライチェーン攻撃:
- 「lib/commonjs/index.js」にコードを注入し、攻撃者がシェルコマンドを実行したり、スクリーンショットを撮影したり、ファイルをアップロードする能力を持つマルウェアが配布された。これにより、悪意のあるコードが正規のソフトウェアパッケージに入り込みます。
- npmパッケージによる破壊的な機能:
- 「express-api-sync」と「system-health-sync-api」というnpmパッケージは、通常のユーティリティを装ってマルウェアを実行します。特に、「express-api-sync」は、特定のHTTPリクエストを受け取ると「rm -rf *」コマンドを実行し、フォルダを一掃する可能性があります。
- 他のパッケージは情報を盗み出し、複数のOSに対応したデータ削除機能を持つ。
- PyPIパッケージを利用したクレデンシャルの収集:
- Pythonパッケージ「imad213」は、Base64でエンコードされたマルウェアを含み、Instagramの認証情報を収集し、不正なボットサービスに送信します。
潜在的な影響
- 情報窃取とマルウェア実行:
- 感染したデバイスでのシェルコマンド実行、機密データの送信、スクリーンショット撮影などの攻撃者による制御。
- データの完全消去:
- 特定のnpmパッケージは、アプリケーションやシステムのデータを全面的に消去する能力を持ち、多大な運用上の影響を及ぼす。
- 社会的および経済的損失:
- Instagramやその他のプラットフォームの資格情報が盗まれ、悪用されることで、個人および企業両方に大きな損害が発生しうる。
推奨される対策
- ソフトウェアサプライチェーンの保護:
- パッケージ管理者はアクセスコントロールを厳密にし、不正アクセスを防ぐために、アクセスキーの定期的な更新と確認を行う。
- セキュリティ監査と脆弱性スキャン:
- すべての依存パッケージとその更新は、デプロイ前に詳細なセキュリティ監査を実施し、脆弱性スキャンツールを使用して未知の脅威を検出する。
- ユーザ教育と認識向上:
- エンドユーザーや開発者に対し、信頼できないソースからのパッケージのインストールを避けるよう警告し、適切な手順に従わせる。
- 影響を受けたシステムの迅速な対処:
- 既に影響を受けたパッケージをシステムから早急に除去し、安全なバージョンにロールバックする。
- インシデント対応と修復:
- 発生したインシデントの影響を最小限に抑え、システムを回復するための実用的なインシデント対応計画を整備する。
