Source: https://thehackernews.com/2025/10/phantomraven-malware-found-in-126-npm.html
🛡 概要
サイバーセキュリティ研究者は、npmレジストリをターゲットにした新たなソフトウェア供給チェーン攻撃キャンペーンを発見しました。この攻撃は、開発者のマシンから認証トークンやCI/CDの秘密情報、GitHubの資格情報を盗むことを目的とした126の悪意のあるnpmパッケージを含んでいます。Koi Securityによって「PhantomRaven」と名付けられたこの活動は、2025年8月に始まり、86,000回以上のインストールを記録しています。
🔍 技術詳細
PhantomRavenの攻撃は、悪意のあるコードを依存関係に隠す手法が特徴です。具体的には、攻撃者はカスタムHTTP URLを指定し、npmが信頼できないウェブサイトから依存関係を取得するように仕向けています。この手法により、セキュリティスキャナーはそれらの依存関係を取得せず、結果として自動化されたセキュリティシステムには「依存関係なし」と表示されます。悪意のあるパッケージは、プリインストールフックを介して主なペイロードを実行します。これにより、開発者の環境からメールアドレスやCI/CD環境に関する情報を収集し、システムフィンガープリンティングを行い、その結果をリモートサーバーに送信します。CVEやCVSSは現時点では確認されていませんが、この手法は非常に危険です。
⚠ 影響
この攻撃の影響は深刻で、開発者や企業のセキュリティに対する信頼を揺るがす可能性があります。攻撃者は、無害に見えるパッケージからマルウェアを配布し、広範な採用後に悪意のあるバージョンを配布することができます。このようにして、開発者は自らの環境が危険にさらされていることに気づかず、重要な情報が漏洩するリスクが高まります。また、PhantomRavenは、従来のセキュリティツールの盲点を利用することで、悪意のあるコードを隠す新しい手法を示しています。
🛠 対策
この種の攻撃に対抗するためには、開発者はnpmパッケージをインストールする際に慎重になる必要があります。信頼できるソースからのみパッケージを取得し、依存関係の解析を行うツールを利用することが重要です。また、ライフサイクルスクリプトが自動的に実行されることを理解し、セキュリティポリシーを強化することが求められます。さらに、定期的なセキュリティチェックや監査を行い、開発環境の安全性を確保することが必要です。最後に、開発者コミュニティ全体で情報を共有し、最新の脅威に対する認識を高めることが重要です。
