毎週20億回以上ダウンロードされるコードパッケージにマルウェアが挿入される

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

3グレイログ

npm パッケージとは何ですか?

npmパッケージとは、npmレジストリからインストールできる、再利用可能なコード（通常はJavaScript）のバンドルです。パッケージには、シンプルなユーティリティから完全なフレームワークまで、事実上あらゆるものを含めることができます。

このケースでは、合計18個のnpmパッケージが悪意のあるコードに感染しました。影響を受けた主なパッケージには、以下のものがあります。

• ansi-styles:週3億7,141万ダウンロード
• デバッグ:週3億5,760万ダウンロード
• チョーク：週2億9999万ダウンロード
• wrap-ansi:週1億9,799万ダウンロード
• color-name:週間ダウンロード数1億9,171万回

悪意のあるコードは、あまり人気のない npm パッケージにも影響を及ぼします。

• has-ansi:週1,210万ダウンロード
• チョークテンプレート：週390万ダウンロード
• バックスラッシュ:週26万ダウンロード

上記のパッケージ以外にも影響を受けたパッケージはありましたが、侵害されたファイルはすべて npm レジストリによって削除されました。

パッケージはどのように侵害されたのでしょうか?

ハッカーたちは、オリジナルのnpmパッケージへのアクセスを得るために、従来型のフィッシング攻撃を開始しました。npmパッケージのメンテナーのアカウントを乗っ取った後、18個の異なるnpmパッケージに悪意のあるコードを挿入し、侵害されたバージョンをアップロードしました。

Aikido Securityの2025年9月8日付ブログで、セキュリティ研究者のチャーリー・エリクソン氏は次のように述べている。「パッケージは更新され、ウェブサイトのクライアントで実行されるコードが追加されました。このコードは、ブラウザ内で暗号資産やWeb3のアクティビティを密かに傍受し、ウォレットのやり取りを操作し、支払い先を書き換えることで、ユーザーには明白な兆候が一切なく、資金や承認が攻撃者が管理するアカウントにリダイレクトされます。」

インストールされると、悪意のあるコードは直ちに被害者のウェブブラウザに侵入し、ネットワーク上で暗号資産ウォレットのアドレスや送金情報といった機密データを監視し始めます。このコードは、以下を含む様々な暗号資産を認識します。

• ビットコイン
• ビットコインキャッシュ
• ライトコイン
• イーサリアム
• ソラナ
• トロン

次に、マルウェアは暗号資産の正当な宛先アドレスをハッカーのアドレスで上書きします。この悪意のあるコードは、完了後も自身の痕跡を隠蔽し、バックグラウンドに留まり、何も知らない被害者のネットワーク上で今後行われる暗号資産取引を検出します。

世界中の開発者へのリマインダー

開発者にとって、npm の侵害は、セキュリティが自分のコードベースだけで完結するものではないということを強く思い起こさせるものです。

ソフトウェアの依存関係は、たとえ長年信頼されてきたものであっても、一瞬にして侵害される可能性があります。そのため、定期的な監査、依存関係の監視、ゼロトラストポリシーといった実践は、ますます相互接続が進む世界において不可欠な安全対策となります。

サイバー犯罪者は、痕跡を残すための新しい独創的な方法を見つけています。最近、攻撃者はXのGrok AIを悪用し、プロモーション広告を通じてマルウェアを拡散しました。研究者が「Grokking」と呼ぶこの手口で、数百万人もの人々を悪意のあるリンクにさらしました。