週間ダウンロード数合計26億回以上の人気npmパッケージ18種類にマルウェア注入の可能性、npm開発者アカウントが乗っ取られて大騒ぎに
Node.jsのパッケージ管理システム「npm」の開発者アカウントが乗っ取られ、多数のパッケージにマルウェアが注入されたことが分かりました。
npm debug and chalk packages compromised
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromisedHackers hijack npm packages with 2 billion weekly downloads in supply chain attack https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/
18 Popular Code Packages Hacked, Rigged to Steal Crypto – Krebs on Security
https://krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-steal-crypto/ セキュリティ企業のAikido Securityによると、攻撃者は開発者のJosh Junon氏にフィッシングメールを送り、認証情報を取得。npmで管理されている複数のパッケージに悪意のあるコードを注入し、配布し始めたとのこと。 悪意のあるコードにより、ウェブサイトを通じて実行される仮想通貨の取引が監視され、悪意のある人物に取引が乗っ取られる可能性があります。Aikido Securityによると、日本時間の2025年9月8日22時頃から、悪意のあるコードが含まれていると思われる一連のパッケージがnpmにプッシュされているという警告を確認したとのこと。対象となるパッケージは非常に人気のある18個のパッケージで、週間ダウンロード数は全部合わせて26億回に上ります。 この事象が検出されて以降、npmチームは攻撃者によって公開された悪意のあるバージョンのいくつかを削除しました。
Junon氏によると、フィッシングメールは正規アドレスのnpmjs.comに酷似した[email protected]というアドレスから送信されていたとのこと。メールには「アカウントセキュリティへの継続的な取り組みの一環として、全ユーザーに二要素認証情報の更新をお願いしております。記録によれば、お客様の最終更新から12カ月以上が経過しています」などと記載され、フィッシングサイトへのリンクが貼られていました。なお、フィッシングメールのドメインはメール送信のたった2日前に取得されたものだとの指摘があります。
Junon氏は「乗っ取られました。申し訳ありません。本当に恥ずかしいです。一見、正当なサイトだと思いました。言い訳をしているわけではありません。ただ、長い一週間を過ごし、朝から忙しくしていて、やることを消化しようとしていただけです。いつもならサイトに直接アクセスするところ、モバイル端末だったので、メールのリンクをクリックするというミスを犯してしまいました」と報告しています。
フィッシングメールを受信した者からの報告によると、攻撃者は同様のメールを用いて他のパッケージ管理者と開発者も標的にしていたとのこと。なお、セキュリティ企業のPrivyは「影響を受けるには、パッケージが侵害された約2時間半の間に新規インストールを行い、その間にpackage-lock.jsonを作成するなど特定の条件を満たす必要があり、その影響は想定より大幅に減少するでしょう」と指摘しています。・関連記事 「クラウドストレージがいっぱいです」という詐欺メールの実態と対策 - GIGAZINE
ポルノを見ているときにウェブカメラで写真を撮影するマルウェアが発見される - GIGAZINE
SharePointのゼロデイ脆弱性をLinen TyphoonとViolet Typhoonという2つの中国国家レベルのハッカー集団が悪用しているのをMicrosoftが確認 - GIGAZINE
関連記事:
OpenAIがスターゲート拡大 米国内で5カ所のデータセンター新拠点
