npm に潜む悪意のパッケージを発見：Telegram Bot API を装い SSH バックドアを展開

Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems

2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ３つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。

それらの、Linux 環境を標的とする、悪意のパッケージは以下のとおりである：

• node-telegram-utils (132 downloads)
• node-telegram-bots-api (82 downloads)
• node-telegram-util (73 downloads)

サプライチェーン・セキュリティ企業 Socket によると、これらのパッケージは、一週間で 10万回以上もダウンロードされる、人気の Node.js Telegram ボット API である “node-telegram-bot-api” を模倣するように設計されているとのことだ。なお、これら３つのライブラリは、現在もダウンロード可能な状態にある。

セキュリティ研究者である Kush Pandya は、「たった１つの環境が侵害されるだけで、大規模な侵入や不正なデータ・アクセスにつながる可能性がある。この数字は控えめに聞こえるかもしれないが、それがライブラリ汚染の怖さだ」と述べている。

サプライチェーンのセキュリティ・インシデントは、たとえインストール数が少なくても、壊滅的な影響をもたらす可能性がある。つまり、開発者システムや本番サーバに、攻撃者がダイレクトに・アクセスすると、その影響は顕著なものとなる。

これらの不正パッケージは、正規ライブラリの説明を引用するだけではなく、スター・ジャッキングと呼ばれる手法で信頼性を装い、無防備な開発者を騙してダウンロードさせようとする。

スター・ジャッキングとは、正規ライブラリに関連付けられた GitHub リポジトリへのリンクを貼ることで、悪意のパッケージを実際よりも人気があるように見せかける手法を指す。つまり、悪意のパッケージと GitHub リポジトリの関係が、検証されないことを悪用する手法である。

Socket の分析によると、これらの悪意のパッケージは、Linux システムで動作するように明示的に設計されており、”~/.ssh/authorized_keys” ファイルに２つの SSH キーを追加することで、ホストへの永続的なリモート・アクセスを攻撃者に許可する仕組みとなっている。

そのスクリプトは、”ipinfo[.]io/ip” にアクセスして、システム・ユーザー名と外部 IP アドレスを収集するように設計されている。また、感染を確認するために、外部サーバである “solana.validator[.]blog” に対してビーコンを送信する。

これらのパッケージの巧妙な点は、削除しても脅威が完全に排除されないところにある。つまり、挿入された SSH キーにより、脅威アクターは自由なリモート・アクセスを達成するため、継続的なコード実行やデータ窃取を可能にする。

この情報開示は、Socket が、別の悪意のパッケージ “@naderabdi/merchant-advcash” の詳細を明らかにしたタイミングで行われている。こちらのパッケージは、Volet (旧称：Advcash) との統合を装いながら、リモート・サーバへ向けたリバース・シェルを起動するように設計されている。

Socket は、「悪意のパッケージ “@naderabdi/merchant-advcash” には、決済成功ハンドラーの呼び出し時に、リモート・サーバへ向けてリバース・シェルを開く、ハードコードされたロジックが取り込まれている。このパッケージは、加盟店が暗号通貨または法定通貨による決済を、受領／検証／管理するためのユーティリティを装っている」と述べている。

インストール時やインポート時にコードを実行する、一般的な悪意のパッケージとは異なり、このペイロードは実行時において、具体的には、トランザクションが成功した後まで機能を維持する。このアプローチは、特定の実行条件下でのみ、悪意のコード実行を達成するため、検出を回避するのに役立つ可能性がある。

このブログでは今年に入って４件目となる、 悪意の npm パッケージに関する記事です。Linux 環境に SSH キーを追加し、恒久的なアクセスを得るこの攻撃は、静かに侵入し続ける新たな脅威と言えるのではないでしょうか。本記事で取り上げられている３つのライブラリは、現在もダウンロード可能な状態にあるとのことです。開発者の皆さまは、十分にご注意ください。よろしければ、以下の関連記事も、npm で検索と併せて、ご参照ください。

2025/03/27：npm パッケージに仕込まれた情報窃取型マルウェア
2025/03/11：npm リポジトリ汚染：Lazarus に関連するパッケージ
2025/01/03：Ethereum：Hardhat を装う悪意の npmパッケージ
2025/01/15：セキュリティ 2025：OSS とサプライチェーンに注目