New npm Supply Chain Attack Uses undicy-http to Deploy Screen-Streaming RAT and Browser Injector
2026/04/01 CyberSecurityNews — Node.js 開発者コミュニティ内で確認されたのは、悪意の npm パッケージ undicy-http をインストールした開発者のマシンを密かに侵害していくインシデントの発生である。このパッケージは、毎週数百万回のダウンロードを処理する Node.js に同梱される、公式 HTTP クライアント・ライブラリ undici を装っているが、HTTP クライアント機能は一切含まれていない。
その代わりに、このパッケージは 2 段階の攻撃を実行し、ブラウザ認証情報の窃取/アクティブ・セッションの乗っ取り/被害者の画面/マイク/Web カメラへのリアルタイム・リモート・アクセスなどを可能にする。具体的には、対象パッケージ (バージョン 2.0.0) を介して、同時に動作する 2 つのペイロードが配信される。
第 1 段階は、Node.js ベースの RAT (Remote Access Trojan) であり、攻撃者が制御する WebSocket サーバへ接続し、リモート・シェル実行/画面ストリーミング/ファイル・アップロード/マイクとカメラの操作などを可能にする。
第 2 段階は、”chromelevator.exe” という名のネイティブ Windows 実行ファイルであり、OS レベルでブラウザ・プロセスへのインジェクションを行い、50 以上のブラウザおよび 90 以上の暗号資産ウォレット・エクステンションから、パスワード/Cookie/クレジットカード情報/IBAN/セッション・トークンなどを窃取する。
このパッケージを 2026年3月31日に特定した JFrog Security の研究者は、LofyGang として知られる脅威グループによる犯行だと断定している。パッケージの作成者 (author) フィールドには ConsoleLofy が記載されており、同グループの既知エイリアスと一致する。コード内には “Lofygang Started” というハードコード文字列およびポルトガル語のログ・メッセージが含まれており、同グループがブラジルを拠点としていることが示唆される。
従来の JavaScript ベースで Discord トークンやクレジットカード情報を窃取していた攻撃と比べて、このキャンペーンは大幅に高度化している。
攻撃対象はブラウザ・データに留まらない。Roblox/Instagram/Spotify/TikTok/Steam/Telegram プラットフォームのセッション・データに加えて、28 種類のデスクトップ暗号資産ウォレット、Ledger や Trezor などのハードウェア・ウォレットとの連携機能/90 以上のブラウザ・ウォレット・エクステンションなどを侵害している。
窃取されたデータは、Discord Webhook/Telegram ボットの 2 経路で同時に送信される。大容量ファイルに関しては、gofile.io/catbox.moe にアップロードした後に、攻撃者に対してダウンロード・リンクが送信される。
注目すべきは、”chromelevator.exe” が GlassWorm Campaign に関連する YARA ルール MAL_Browser_Stealer_Dec25_2 に一致していることだ。このルールは、2025年12月以降において、1,750 以上のマルウェア・サンプルに一致しており、2026年3月の時点でも新たな一致が検出されている。
感染チェーン:マルウェアの隠蔽と永続化
開発者が undicy-http をインストールすると、自身がバックグラウンド・プロセスとして実行されている状況が、メイン・スクリプト (index.js) により直ちに確認される。バックグラウンドでない場合には、システムの temp フォルダに VBScript ファイルを書き込み、”wscript.exe” を用いて非表示ウィンドウでの再実行を実施し、実行の痕跡を隠蔽する。
その後に、このマルウェアは 3 つの永続化メカニズムを確立する。まず ScreenLiveClient というスケジュール・タスクを作成し、ログイン時に最高権限で起動されるようにする。この手法が失敗した場合には、レジストリの run キーへ書き込みを行う。最終手段として、Windows Startup フォルダに自身のコピーを配置する。VBScript ランチャー・ファイルは attrib +h +s により隠蔽される。
セキュリティ・ツールによる検出を回避するために、このマルウェアは MAC アドレス/BIOS 文字列/ディスク名/実行プロセスを対象とする、10 種類のアンチ VM チェックを実行し、ANY.RUN/Cuckoo/Triage などのサンドボックス環境を検出する。さらに、Wireshark/IDA/Ghidra などの解析ツールも検出対象とする。さらに、偽の DLL 欠落エラーを表示することで、被害者による検知を逃れながら、バックグラウンドでペイロードを継続的に実行する。
最も高度なネイティブ・バイナリ “chromelevator.exe” は、”ntdll.dll” API を避けた直接システム・コールを使用することで、EDR およびアンチウイルスのユーザーモード・フックを回避する。
対応策
開発者にとって必要なことは、直ちに npm uninstall undicy-http を実行し、すべての node および wscript.exe プロセスを終了することだ。さらに、ScreenLiveClient スケジュール・タスクおよび関連レジストリ・キーを削除し、temp フォルダ内の VBS ファイルを削除すべきだ。
また、Discord クライアントを再インストールして注入コードを除去し、すべてのパスワード/Discord トークン/Roblox/Instagram/Spotify/TikTok/Steam/Telegram のセッション資格情報をローテーションする必要がある。暗号資産に関しては、クリーンなマシン上で新しいシード・フレーズを使用することで、新規ウォレットへと移動することが推奨される。
C2 アドレス “24[.]152[.]36[.]243” およびドメイン “amoboobs[.]com” をブロックすることが推奨される。”chromelevator.exe” が実行された場合には、システムの完全な信頼性を保証されないため、OS のクリーン・インストール (再イメージ化) が推奨される。
訳者後書:このインシデントは、開発者が日常的に利用する有名な公式ライブラリに名前を似せた、悪意のパッケージを公開して騙してインストールさせる、タイポスクワッティングという手法に起因するものです。本物と見分けがつかないほど、巧妙な名称が使われている点に注意が必要です。一度インストールされると、バックグラウンドで認証情報の窃取や遠隔操作が実行されてしまいます。特に Windows の深層で動作する、ネイティブ・ファイルが組み込まれている点が危険です。信頼できるライブラリを導入する際でも、パッケージ名や作成者 (author) フィールドに不自然な点がないか、慎重に確認することが大切です。よろしければ、npm での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.