2025-11-07
15以上の悪意のあるnpmパッケージがWindowsを悪用しVidarマルウェアを展開
Datadog Security Researchによると、npmエコシステムを狙った高度なサプライチェーン攻撃が発覚しました。この攻撃では、17の悪意のあるパッケージが23のリリースを通じて、WindowsシステムにVidar情報窃取マルウェアを配布することを目的としています。攻撃はMUT-4831という脅威アクターのクラスに起因しており、npmパッケージを通じてVidarマルウェアが配布されることが公に知られるのは初めてです。これらの悪意のあるパッケージは、Telegramボットヘルパーやアイコンライブラリなどの正当なソフトウェア開発キットを装っており、インストール時に自動的に実行されるポストインストールスクリプトを通じて破壊的なペイロードを実行します。
メトリクス
このニュースのスケール度合い
5.0
/10
インパクト
6.0
/10
予想外またはユニーク度
6.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.0
/10
このニュースで行動が起きる/起こすべき度合い
7.0
/10
主なポイント
- ✓ Datadogの研究者は、npmエコシステムを狙ったサプライチェーン攻撃を発見しました。この攻撃では、17の悪意のあるnpmパッケージが使用されています。
- ✓ Vidarマルウェアは、ブラウザの資格情報や暗号通貨ウォレットなどの機密データを収集し、コマンド&コントロールサーバーに送信します。
社会的影響
- ! オープンソースのパッケージエコシステムは、サプライチェーン攻撃に対して脆弱であることが再確認されました。
- ! この攻撃は、開発者や企業にとって、信頼できるパッケージの選定がいかに重要であるかを示しています。
編集長の意見
今回の攻撃は、npmエコシステムにおけるサプライチェーン攻撃の深刻さを浮き彫りにしています。特に、悪意のあるパッケージが正当なソフトウェア開発キットとして装われている点は、開発者にとって大きな脅威です。攻撃者は、短期間で新しいアカウントを作成し、悪意のあるパッケージを公開することで、迅速に攻撃を展開しました。このような手法は、今後も続く可能性が高く、開発者は常に警戒を怠らない必要があります。さらに、Vidarマルウェアの新しいバージョンは、従来のものよりも高度な機能を持ち、データの収集と送信を行うためのインフラを動的に発見する能力を持っています。これにより、攻撃者はコマンド&コントロールサーバーを頻繁に変更でき、検出を回避することが容易になります。今後の課題としては、オープンソースのパッケージ管理システムにおけるセキュリティ対策の強化が挙げられます。具体的には、悪意のあるパッケージを事前にブロックする技術の導入や、開発者への教育が重要です。また、ユーザーは信頼できるソースからのみパッケージをインストールすることを心がけるべきです。これにより、被害を未然に防ぐことが可能となります。
背景情報
- i Vidarマルウェアは、2018年に登場した情報窃取マルウェアで、最近のバージョンはGo言語でコンパイルされています。この新しいバージョンは、従来のC/C++で書かれたものよりも強化された機能を持っています。
- i 攻撃者は、npmパッケージのインストール時にポストインストールスクリプトを使用して、暗号化されたZIPアーカイブをダウンロードし、そこからVidarマルウェアを実行します。