Google Calendar を C2 サーバに変える:NPM に仕掛けられた高ステルス性のマルウェアとは?

Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication

2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。

多段階マルウェアの正体

os-info-checker-es6 のバージョン 1.0.6 では、プリインストール・スクリプトによる、Unicode ベースのステガノグラフィが導入された。それにより、Supplementary Special Purpose Plane からの可視性を阻止する、バリエーション・セレクタ文字の中に、悪意のペイロードが隠蔽されるようになった。

NPM Attack
hexdump 

フォントとしての視覚的な要素がない、これらの文字が、バイナリ・モジュールを介して Base64 文字列にデコードされ、eval() を介して実行された。それが示すのは、従来の検出メカニズムを回避する巧妙な回避戦術である。

VeraCode Report によると、無害なユーティリティから隠れたローダーへと向けた進化は、攻撃者のアプローチのステルス性と適応性を強く示している。

続いて、2025年5月7日にリリースされたバージョン 1.0.8 では、さらに脅威がエスカレートしている。os-info-checker-es6 は、Google Calendar2 の短縮リンクを悪用する、新たな Command and Control (C2) メカニズムを統合した。

このマルウェアのスクリプトは、specific_calendar イベント URL を取得し、data-base-title 属性から Base64 エンコードされたリンクをスクレイピングし、それを辿ることで次段階のペイロードを取得した。

このペイロードも Base64 でエンコードされており、ダイレクトに実行されるものだ。そのヘッダーを分析すると、IV や秘密鍵などの暗号化パラメータが含まれている可能性が見えたが、観測されたサンプルでは完全な実装には至っていなかった。

Google Calendar を C2 ドロッパーにする堅牢な手法

Google Calendar を中間ドロッパーとして用いる巧妙な手法は、著名なプラットフォームの信頼を悪用してブラックリストを回避するため、初期段階のブロックを複雑化させる。

この Google Calendar RAT の概念実証とも言える戦術は、正規のインフラを悪意のある目的で転用し、セカンダリ C2 サーバ (http://140.82.54.223/…) から動的なペイロードを取得する。この調査中において、一連の悪意のサーバ群は休止状態に見えたが、分析対策チェックにより保護されているのかもしれない。

このスクリプトには、再試行ロジック/エラー処理/一時ディレクトリ内の永続ロック・ファイルも取り込まれており、中断に対する耐性が確保されている。

この攻撃の影響は、npm エコシステム内での活動により、大きく広がっている。os-info-checker-es6 は 655 回/週のペースでダウンロードされ、skip-tot/vue-dev-serverr/vue-dummyy/vue-bit などの、4つのパッケージの依存関係の中にも潜り込んでいる。

疑わしいほど一致する、命名パターンを持つユーザーにより公開された依存関係には、このマルウェアと skip-tot 作成した kim9123 も含まれる。したがって、今回のマルウェアがアクティブ化する前から、さまざまな潜伏を繰り返してきたと推測される、広範な悪意のネットワークの存在が示唆される。

このサプライチェーンの脅威は、高度なステガノグラフィー/コンパイル済みバイナリ/信頼できるサービスの悪用を組み合わせて、OSS リポジトリを標的とする攻撃者たちが、以前にも増して巧妙さを高めていることが示される。

この問題は、公開前に npm のセキュリティ・チームに報告され、対策が講じられている。

このキャンペーンが浮き彫りにするのは、ますます複雑化する脅威の状況における、速やかな対応の必要性である。特にインストール・フックやネイティブ・モジュールを取り込んだ依存関係を、開発者たちは厳重に精査する必要がある。

Google Calendar を C2 に使うという、珍しい手法を用いた攻撃が発見されました。怖いですよね。攻撃者の手口は多様化する一方で、防御側もセキュリティ対策を“常識の外”にまで広げる必要があるのだなと感じました。よろしければ、NPM で検索Google で検索も、ご参照ください。