高度なセキュリティー研究で知られるJFrog(ジェイフロッグ)は、高度に洗練された悪意のあるnpmパッケージを8つ発見し、報告した。react-sxt、react-sdk-solanaなどを含むこれらのパッケージは、高度な難読化技術と多層ペイロード配信メカニズムを備えている。これらは特にWindows上で動作するGoogle Chromeユーザーを標的としている。これらのパッケージは全て、最終的に同じペイロードを配信する。これは、パスワード、クレジットカード情報、暗号通貨、クッキーを盗むことができる、高度なChromeブラウザー情報窃取ツールだ。
悪意のあるパッケージはユーザー「ruer」によってnpmにアップロードされ、src/react.jsファイルに難読化されたJavaScriptコードが含まれていた。このパッケージは、悪意のある意図を隠すために、まずobfuscator.ioスタイルの難読化を採用している。その後、ペイロードは実行中のPythonプロセスを全て強制終了し、Windowsの一時ディレクトリーから既存のPythonファイルを全て削除し、ローカルマシンにPythonがインストールされていることを確認する。Pythonがインストールされていない場合は、公式Pythonリリースから特定のバージョンがダウンロードされ、インストールされる。
次に、ペイロードはコマンドpip install --quiet --no-warn-script-locationを使って、依存するPythonライブラリー(pythonforwindows、pycryptodome、requests)をインストールする。全てのセットアップが完了すると、難読化されたPythonスクリプトが一時ファイルに書き込まれ、直ちにサイレント実行される。runPythonSilently()メソッドは、難読化されたPythonペイロードを実行するために複数の方法を採用している。スクリプトは各方法の実行を試み、失敗すると次の方法に進む。
JavaScriptペイロードに埋め込まれた悪意のあるPythonコードは、一般的に見られるものよりも高度な難読化手法を用いている。圧縮、Base64エンコード、配列順序反転を組み込んだ匿名ラムダ関数によってペイロードを隠蔽する。最終的なペイロードの機能は広範囲にわたり、Chromeブラウザーのデータに的を絞った、警戒すべきものだ。パスワード抽出、クレジットカード情報の収集、Cookieの窃取、暗号通貨ウォレットデータの窃取などが含まれる。
これらの8つのnpmパッケージは、オープンソースコンポーネントに依存する開発者や組織にとって重大な脅威となる。これらのパッケージは、多層的な難読化、高度な回避技術、そして包括的なデータ窃取機能を備えている。JFrog XrayはJFrogの悪意のあるパッケージを検出できるようにアップデートされ、ユーザーのセキュリティーをさらに強化している。JFrogセキュリティーリサーチセンターは、ソフトウェアサプライチェーンのセキュリティー維持のため、最新の共通脆弱性識別子(CVE)、脆弱性、および修正プログラムに関する情報を継続的に提供している。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
