🛡 概要
最近発見されたNPMパッケージ「fezbox」は、QRコードを利用してクッキーを盗むマルウェアを攻撃者のサーバーから取得します。このパッケージはユーティリティライブラリとして偽装されており、ステガノグラフィー技術を駆使して、侵害されたマシンからユーザーの機密データを収集します。QRコードは通常、人間が読み取るために設計されていますが、攻撃者はこの技術を悪用し、悪意のあるコードをQRコード内に隠蔽する新たな目的を見出しました。
🔍 技術詳細
Socket Threat Research Teamは、npmjs.comに公開された悪意のあるパッケージ「fezbox」を特定しました。このパッケージは、隠された命令を含み、QRコードを含むJPG画像を取得するためのものです。具体的には、dist/fezbox.cjsファイル内にマルウェアのペイロードが格納されています。コードは最初は難読化されていますが、整形すると読みやすくなります。コード内の条件文は、アプリケーションが開発環境で実行されているかを確認し、リスクを回避するための隠密戦術が施されています。120秒後にQRコードからコードを解析し実行する仕組みです。QRコードに埋め込まれた悪意のあるリンクは、逆向きに保存されており、静的解析ツールを回避するための手法です。
⚠ 影響
この攻撃の影響は非常に深刻です。「fezbox」によって取得されるクッキーには、ユーザー名やパスワードが含まれる可能性があります。攻撃者は、これらの情報をHTTPS POSTリクエストを介して外部サーバーに送信します。QRコードは非常に密度が高く、通常のスマートフォンのカメラでは正確に読み取ることができないため、特に危険です。この手法は、従来のステガノグラフィーの手法を超え、攻撃者が利用可能なあらゆる媒体を悪用することを示しています。
🛠 対策
このような攻撃から身を守るためには、まず不明なNPMパッケージをインストールしないことが重要です。信頼できるソースからのパッケージのみを利用し、定期的なセキュリティレビューを実施することが推奨されます。また、セキュリティ対策として、実行環境を監視し、異常なトラフィックを検知するためのネットワークセキュリティツールを導入することが有効です。QRコードを通じた攻撃が増加しているため、ユーザー教育も重要です。QRコードをスキャンする際は、必ず信頼できるものかどうかを確認する習慣をつけましょう。
