jQuery Migrate Library を武器化するサプライチェーン攻撃:Parrot を用いるサイレント侵害の手口を解明

jQuery Migrate Library Silently Compromised to Steal Logins Using Parrot Traffic Direction System

2025/06/19 CyberSecurityNews — 信頼性の高い jQuery Migrate ライブラリを武器化し、ステルス性の高いマルウェアを拡散することで、ユーザーの認証情報やセッション・データを収集する、高度なサプライチェーン攻撃が出現した。この攻撃をセキュリティ研究者たちが特定したのは、正当に見える中東のビジネス Web サイトにアクセスした、ある上級管理職の異常なオンライン行動を調査したときである。この異常な行動とは、公式の “jquery-migrate-3.4.1.min.js” ライブラリを装いながら、悪意の JavaScript ファイルのサイレント配信をトリガーするものだった。

この攻撃が開始されるのは、Parrot Traffic Direction System (TDS) に感染した WordPress Web サイトに、被害者がアクセスする時である。この TDS というマルウェアは、デバイス特性/ブラウザの種類/地理的位置などに基づき、トラフィックを選択的にフィルタリング/リダイレクトする機能を、サイバー犯罪者に提供する高度なツール・キットである。

このインシデントにおける最初の感染経路は、以下の URL ホストされる侵害済の “autoptimize” キャッシュ・ファイルまで遡る。

hxxps://tabukchamber[.]sa/wp-content/cache/autoptimize/js/autoptimize_979aed35e1d8b90442a7373c2ef98a82[.]js

このファイルに埋め込まれていた機能は、悪意のペイロードを配信する前に、正規ユーザーの指紋を採取するように設計された、Parrot TDS ロジックである。

この悪意の jQuery Migrate ファイルは、最初の検査では正規のファイルに見えた。しかし、Trellix のアナリストが突き止めたのは、数千行に及ぶ正規のライブラリ・コードの後に付加された​​、かなり大掛かりに難読化された悪意の JavaScript ペイロードだった。

標準的な jQuery Migrate 機能の後ろにペイロードを追加するという、戦略的な配置に成功した悪意のコードの開発者は、通常の検査や自動静的解析ツールによるマルウェアの検出を回避していく。

感染のメカニズムとペイロードの配信

侵害された jQuery Migrate ライブラリに埋め込まれた、4段階の感染メカニズムでは、検出を回避するための高度な技術が駆使されている。

Obfuscated entry (Source – Trellix)

このマルウェアは、難読化された文字列ビルダーを用いて初期化を行う。そのビルダーは、断片化された配列から重要な JavaScript 関数と URL を動的に再構築し、”eval” や “XMLHttpRequest” といった疑われやすいキーワードやドメイン・フラグメントを、静的スキャナから効果的に隠蔽していく。

そして、文字列を再構築した後に、このマルウェアは “XMLHttpRequest” を隠蔽するカスタム HTTP ラッパーを作成し、jQuery の標準 ajax() 関数などの、追跡が容易なネットワーク通信メソッドを回避していく。

Stripped-down wrapper (Source – Trellix)

このシステムは、上記のロジックを使用することで、セッションごとに一意のランダム・トークンを生成する。それにより、キャッシュ・メカニズムが回避され、シグネチャ・ベースの検出も回避され、この悪意のネットワーク・リクエストは正当なものを装える。

Remote Execution via eval() (Source – Trellix)

最終段階では、リモート・コード実行が行われる。このマルウェアは、クエリ・パラメータとして生成されたトークンを使用し、攻撃者が管理するドメインへと GET リクエストを送信する。そのレスポンスには、eval() 関数を介して実行される、新たな悪意の JavaScript ペイロードが含まれている。

このアーキテクチャにより、被害者の状況に応じたペイロードの動的な変更を、攻撃者は達成できる。その結果として、認証情報の窃取/セッション・ハイジャック/キーストロークのロギング/偽の認証インターフェイスの展開といった悪意のアクティビティを、ディスク上に大きなアーティファクトを残すことなく、攻撃者は実行していくという。

きわめて巧妙で洗練された、サプライチェーン攻撃という感じですね。信頼性の高い jQuery Migrate ライブラリを巧妙に悪用することで、一般的な検出を完全に回避しているようです。また、WordPress サイトに仕掛けられた Parrot TDS が、攻撃のトリガーになるのも、普通の閲覧行動を介した感染力という意味で、大きな脅威となります。よろしければ、カテゴリ SupplyChain も、ご参照ください。