26,000回ダウンロードされた175の悪意あるnpmパッケージ、世界中の技術・エネルギー企業を攻撃

Socketの脅威研究チームは、175の悪意あるnpmパッケージを含む洗練されたフィッシングキャンペーンを特定しました。これらのパッケージは合計で26,000回以上ダウンロードされています。

このキャンペーンは、すべてのパッケージに共通するアーティファクトに基づいて「Beamglea」と名付けられ、npmの公開レジストリとunpkg.com CDNを悪用して、135以上の産業、技術、エネルギー企業を対象にリダイレクトスクリプトをホスティングする新しいタイプの攻撃を示しています。

パッケージ自体はインストール中に悪意あるコードを実行せず、npmエコシステムを資格情報収集作業のための無料ホスティングインフラとして悪用するため、特に巧妙です。

パッケージのランダムな名前はredirect-[a-z0-9]{6}パターンに従っており、偶然の開発者インストールの可能性を低くしていますが、かなりのダウンロード数は、公開後にパッケージを分析したセキュリティ研究者、自動スキャナー、CDNインフラを含む可能性があります。

脅威行為者は、購入注文書やプロジェクト文書としてテーマ化された被害者特有のHTMLフィッシングルアーを作成するために、包括的なPythonツールを開発しました。

「beamglea」の起源と意味は不明ですが、攻撃者が使用するコード名または内部参照である可能性があります。

Socket.devのアナリストは、定期的なスキャン作業の一環としてこのキャンペーンを特定し、最初にフィッシングインフラを発見したSafetyのPaul McCartyの初期の発見に基づいています。

研究者は、このキャンペーンに関連するほとんどのパッケージが執筆時点でまだライブであることを指摘し、npmレジストリからの削除と脅威行為者のアカウントの停止を即座に求めました。

このキャンペーンは、技術実装における驚くべき洗練を示しており、サプライチェーン悪用技術の懸念すべき進化を表しています。