15+ Weaponized npm Packages Attacking Windows Systems to Deliver Vidar Malware
2025/11/07 CyberSecurityNews — npm パッケージの侵害を介して Windows システムを標的とする、高度なサプライ・チェーン攻撃が出現した。2025年10月21日から26日の間に、脅威アクターが公開した 17 個の悪意の npm パッケージは、Vidar Infostealer マルウェアを配布するために設計されたものだ。このインシデントが明らかにしたのは、オープンソース・ソフトウェアの配布における深刻な問題である。
このキャンペーンは、パッケージ・レジストリに寄せる開発者の信頼を悪用するものだ。具体的には、Telegram の bot helpers/icon libraries と、Cursor および React などの人気プロジェクトのフォークを装う、正規に見える悪意のパッケージが展開されている。
この攻撃で用いられている2つの npm アカウントは、最近に作成された “aartje” と “saliii229911” である。レジストリから削除されるまでの間に、これらのアカウントから 2,240 回以上のダウンロードが行われていた。
これまでの Vidar は、フィッシング・メールに添付される悪意の Office ドキュメントを介して活動を展開してきたが、この配布方法の変化が象徴するのはパラダイム・シフトである。
欺瞞的なパッケージングと正規に見せかける機能により、一連の悪意のあるコードは、検出される前に広く拡散されてしまった。
.webp)
Datadog Security Labs のセキュリティ研究者たちは、GuardDog 静的アナライザーを用いて今回のキャンペーンを特定した。GuardDog は、インストール後のスクリプト実行やプロセス生成操作などの、疑わしい兆候に対してフラグ付けするものだ。
この発見により明らかになったのは、すべての悪意のパッケージが、インストール後のスクリプトを通じて同一の攻撃チェーンを実行していたことだ。さらに、一部の亜種では、”package.json” ファイルに直接埋め込まれた PowerShell コマンドが使用されていた。
感染メカニズムと技術的な詳細
この攻撃は、実行手順が驚くほど単純である。侵害されたパッケージを開発者がインストールした直後に、”postinstall” スクリプトが自動的に起動し、”bullethost.cloud” インフラから暗号化された ZIP アーカイブをダウンロードする。
このダウンローダー・スクリプトは、ハードコードされた認証情報を用いてアーカイブを抽出し、npm ディストリビューションでは稀な、Go でコンパイルされた Vidar 亜種の “bridle.exe” を取得する。
その後に、このマルウェアはシステム権限で実行され、情報窃取プロセスを開始する。
この Vidar 亜種は、ブラウザの認証情報/Cookie/暗号通貨ウォレット/システム・ファイルなどの機密データを収集し、その後に C2 (Command and Control) インフラを通じて盗み出した情報を外部に持ち出す。
このマルウェアは、ハードコードされた Telegram および Steam の使い捨てアカウントを照会することで、定期的に更新される C2 ドメインとアクティブな C2 サーバを検出する。データの持ち出しに成功したマルウェアは、自身の痕跡を削除し、侵害後の検出を困難にする。
このキャンペーンが示すのは、npm エコシステムの欠陥に対する高度な理解である。
この脅威アクターは複数の C2 ドメイン間を移動し、インストール後のスクリプト実装にバリエーションを加えることで、パターン・ベースの検出システムを回避する可能性を高めている。
すべての影響を受けたパッケージは、約2週間にわたり npm 上で提供されていた。世界中の企業の開発環境と個人の開発者を標的とする、最も深刻な npm ベースのマルウェア・キャンペーンの1つとなった。
npm という、開発者にとって身近な仕組みを悪用する攻撃が発見されました。最大の原因は、レジストリ上で誰でも比較的簡単にパッケージを公開できるというオープンな性質にあります。この仕組みを逆手に取る攻撃者は、人気プロジェクトを装う偽のパッケージを登録していました。見た目が正規のライブラリに近いため、数多くの開発者が気付かずに導入していたようです。ご利用のチームは、ご注意ください。よろしければ、npm で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.