npm パッケージの悪用と攻撃:Solana 暗号資産の開発者から機密情報を窃取するキャンペーンを検出

Crypto Developers Attacked With Malicious npm Packages to Steal Login Details

2025/08/19 CyberSecurityNews — 機密性の高い認証情報やウォレット情報の窃取を目的とし、暗号資産の開発者を標的に悪意の npm パッケージを展開する、新たな脅威キャンペーンが確認された。そこで用いられる手法は、従来と比べて洗練されたものであり、開発者コミュニティに深刻なリスクをもたらしている。この攻撃は、正規のSDK (software development kits) やスキャン・ツールを装い、特に Solana 暗号資産エコシステムを標的にするため、研究者たちは Solana-Scan と名付けている。

このキャンペーンの中心には、 solana-pump-test/solana-spl-sdk などの、複数の悪意の npm パッケージが存在する。それらのパッケージを公開する脅威アクターは、cryptohan というハンドル名と crypto2001813@gmail[.]com というメール・アドレスを用いている。

これらの悪意のパッケージは、高度な Solana ファイル・スキャン機能やマルチスレッド機能を備えた、アップロード SDK を装うものであり、正規の開発ツールを意図的に模倣することで、無防備な開発者を欺く設計となっている。

solana-pump-test and solana-spl-sdk (Source – Safety)

Safety の研究者たちは、独自のパッケージ検出技術を用いて、この悪意のキャンペーンを特定した。分析の結果として判明したのは、これらのパッケージには、暗号通貨関連の認証情報や機密ファイルを収集する、高度に難読化された JavaScript ペイロードが取り込まれていることだった。

特に、このタイプのマルウェアが狙うのは、.env/.json/.one/.one1/.one2/.txt などの拡張子を持つファイルである。これらのファイルに対して正規表現を利用し、侵害したシステムに保存されている可能性がある、暗号通貨トークンやウォレット認証情報を抽出する。

この攻撃が示すのは、npm エコシステムを悪用する高度な情報窃取ツールの拡散であり、すでに深刻な被害を引き起こしているという。公開された C2 インフラの情報によると、すでに 17,000 件を超えるファイルが収集されており、標的となった開発者コミュニティに重大な影響を及ぼしている。

特に懸念されるのは、ロシアの暗号資産開発者を、狙っているように見える点である。被害者の IP アドレスはモスクワまで追跡されるが、C2 サーバは米国インフラ (IP アドレス 209.159.159.198) 上で運用されているという。

多段階感染と永続化

このマルウェアが採用するのは、最初のエントリ・ポイント “universal-launcher.cjs” ファイルから始まる、多段階のデプロイメント戦略である。そのランチャー・スクリプトは広範な環境偵察を行い、ユーザー名/作業ディレクトリ/npm のインストール・モードなどのシステム情報を収集する。

Universal-launcher.js Javascript (Source – Safety)

また、コード内で確認されたものには、絵文字を含む console.log メッセージや、Anthropic Claude などの AI ツールによるコード生成の兆候を示すパターンなどがある。

const _0x35a3f5 = process.env.DETECTED_USERNAME; 
const _0x459771 = process.env.WORKING_DIR;
const _0x45a3ca = process.env.NPM_INSTALL_MODE === "true";
console.log(" Universal Launcher NPM Install Mode: " + _0x45a3ca);

その後に、前述のランチャーは、セカンダリ・ペイロード (index.js/index.cjs) を検索し、バックグラウンド・プロセスとして起動することで永続性を確立する。

続いて、メイン・ペイロードが、包括的なファイル・システム・スキャンを実行し、Documents/Downloads/Desktop フォルダなどのユーザー・ディレクトリをターゲットにしていく。ただし、検出を回避するために、node_modules や .git など開発関連ディレクトリは対象から除外される。

収集されたデータは JSON 形式にまとめられ、C2 サーバへと送信される。公開された Web インターフェイスでは、侵害済の被害者から窃取したパスワード・データベース/暗号資産取引所の認証情報/ウォレット・ファイルなどが表示されており、この攻撃の深刻さを裏付けている。

暗号資産の開発者を狙う、悪意の npm パッケージが検出されたようです。npm エコシステムを悪用して正規ツールを装い、開発者に不正なコードを導入させているとのことです。パッケージ内部に難読化された JavaScript ペイロードが組み込まれており、環境変数や特定の拡張子を持つファイルから、ウォレット情報や認証情報を抽出する仕組みが展開されると、この記事は指摘しています。よろしければ、カテゴリ Repository を、ご参照ください。