JFrog（ジェイフロッグ）、Windows上のChromeユーザーを狙う8つの高度な悪意のあるnpmパッケージを報告

高度なセキュリティー研究で知られるJFrog（ジェイフロッグ）は、高度に洗練された悪意のあるnpmパッケージを8つ発見し、報告した。react-sxt、react-sdk-solanaなどを含むこれらのパッケージは、高度な難読化技術と多層ペイロード配信メカニズムを備えている。これらは特にWindows上で動作するGoogle Chromeユーザーを標的としている。これらのパッケージは全て、最終的に同じペイロードを配信する。これは、パスワード、クレジットカード情報、暗号通貨、クッキーを盗むことができる、高度なChromeブラウザー情報窃取ツールだ。

悪意のあるパッケージはユーザー「ruer」によってnpmにアップロードされ、src/react.jsファイルに難読化されたJavaScriptコードが含まれていた。このパッケージは、悪意のある意図を隠すために、まずobfuscator.ioスタイルの難読化を採用している。その後、ペイロードは実行中のPythonプロセスを全て強制終了し、Windowsの一時ディレクトリーから既存のPythonファイルを全て削除し、ローカルマシンにPythonがインストールされていることを確認する。Pythonがインストールされていない場合は、公式Pythonリリースから特定のバージョンがダウンロードされ、インストールされる。

次に、ペイロードはコマンドpip install –quiet –no-warn-script-locationを使って、依存するPythonライブラリー（pythonforwindows、pycryptodome、requests）をインストールする。全てのセットアップが完了すると、難読化されたPythonスクリプトが一時ファイルに書き込まれ、直ちにサイレント実行される。runPythonSilently()メソッドは、難読化されたPythonペイロードを実行するために複数の方法を採用している。スクリプトは各方法の実行を試み、失敗すると次の方法に進む。

JavaScriptペイロードに埋め込まれた悪意のあるPythonコードは、一般的に見られるものよりも高度な難読化手法を用いている。圧縮、Base64エンコード、配列順序反転を組み込んだ匿名ラムダ関数によってペイロードを隠蔽する。最終的なペイロードの機能は広範囲にわたり、Chromeブラウザーのデータに的を絞った、警戒すべきものだ。パスワード抽出、クレジットカード情報の収集、Cookieの窃取、暗号通貨ウォレットデータの窃取などが含まれる。

これらの8つのnpmパッケージは、オープンソースコンポーネントに依存する開発者や組織にとって重大な脅威となる。これらのパッケージは、多層的な難読化、高度な回避技術、そして包括的なデータ窃取機能を備えている。JFrog XrayはJFrogの悪意のあるパッケージを検出できるようにアップデートされ、ユーザーのセキュリティーをさらに強化している。JFrogセキュリティーリサーチセンターは、ソフトウェアサプライチェーンのセキュリティー維持のため、最新の共通脆弱性識別子（CVE）、脆弱性、および修正プログラムに関する情報を継続的に提供している。

出典：JFrog