Source: https://thehackernews.com/2025/10/10-npm-packages-caught-stealing.html
🛡 概要
最近のサイバーセキュリティ研究により、Windows、Linux、macOSシステムを対象とした情報盗難を目的とする10の悪意のあるnpmパッケージが発見されました。これらのパッケージは、開発者の資格情報を盗むために設計されており、合計で9,900回以上のダウンロードが行われました。これらのパッケージは、人気のあるライブラリを模倣する形で、typosquatting(タイプミスを利用した詐欺)を行っています。
🔍 技術詳細
特定された悪意のあるパッケージには、deezcord.js、dezcord.js、dizcordjsなどが含まれています。これらのパッケージは、インストール時に「install.js」というスクリプトを自動的に実行し、オペレーティングシステムを検出した後、隠蔽されたペイロード「app.js」を新しいコマンドプロンプトウィンドウで起動します。ペイロードは、XOR暗号化やURLエンコーディングなどの四重の難読化を施されており、解析を困難にしています。CVEやCVSSに関する情報はありませんが、攻撃の目的は、開発者のマシンから秘密情報を徹底的にスキャンする情報盗難ツール「data_extracter」を取得し実行することです。
⚠ 影響
この攻撃によって、開発者のシステム内に保存されている資格情報が危険にさらされます。特に、システムのキーチェーンに保存されている資格情報は、暗号化されていない形で直接抽出されるため、企業のメール、ファイルストレージ、内部ネットワーク、データベースへの即時アクセスを可能にします。システムキーチェーンは、メールクライアントやクラウドストレージツールなど、重要なサービスの資格情報を保存しているため、影響は甚大です。
🛠 対策
開発者は、npmパッケージをインストールする際に、必ず信頼できるソースからのパッケージを選択することが重要です。また、パッケージの内容を確認し、不明なスクリプトや不審な動作がないかをチェックすることが推奨されます。さらに、セキュリティ対策として、エンドポイントセキュリティソフトウェアやファイアウォールを活用し、定期的にシステムのスキャンを行うことが必要です。これにより、悪意のあるソフトウェアの侵入を防ぎ、システムの安全を確保することができます。
