Node.js – IoT OT Security News

Stealit マルウェアの新たな活動を確認：Node.js 機能の悪用とWindows システムの標的化

New Stealit Malware Exploits Node.js Extensions to Target Windows Systems

2025/10/11 gbhackers — 実験的な Node.js 機能を悪用して Windows システムを感染させる新たな Stealit マルウェアの活動を、セキュリティ研究者が確認した。FortiGuard Labs のレポートによると、この攻撃者は Node.js の Single Executable Application (SEA) 機能を用いて、悪意のペイロードをパッケージ化して配布している。この新たな戦術は、Electron フレームワークに依存していた、従来の Stealit バージョンからの転換を示している。このマルウェアは、Mediafire や Discord などのファイル共有プラットフォームを経由し、人気ゲームや VPN ソフトウェアのインストーラーを装いながら拡散している。

Node.js の脆弱性 CVE-2025-27210／27209 が FIX：パス・トラバーサルと HashDoS の可能性

Node.js Vulnerabilities Exposes Windows App to Path Traversal and HashDoS Attacks

2025/07/16 CyberSecurityNews — Node.js プロジェクトが公開したのは、Windows アプリケーションおよび V8 エンジン実装に影響を与える２件の深刻な脆弱性 CVE-2025-27210／CVE-2025-27209 に対処する、セキュリティ更新プログラムの情報である。このセキュリティ更新プログラムが対象とするのは、Node.js のバージョン 20.x／22.x／24.x であり、パス・トラバーサルとハッシュ DoS 攻撃ベクターへの修正が含まれている。これらの脆弱性は、アプリケーションのセキュリティとパフォーマンスに深刻な影響を及ぼすものである。

Multer の脆弱性 CVE-2025-47944／47935 が FIX：Node.js アプリに DoS攻撃攻撃の可能性

High DoS Risk: Multer Flaws Threaten Millions of Node.js Apps

2025/05/20 SecurityOnline — Multer は、Node.js において multipart/form-data を処理する定番ミドルウェアであり、月間ダウンロード数が 2,630万回を超えるものだ。しかし、この人気ライブラリで発見された脆弱性 CVE-2025-47944／CVE-2025-47935 により、それを利用するアプリケーションに深刻なサービス拒否 (DoS) 攻撃のリスクが発生している。Node.js アプリケーションで、Multer を用いてファイルのアップロード処理を行い、バージョン 2.0.0 以降を使用していないケースでは、この脆弱性の影響を受ける可能性が生じる。

Google Calendar を C2 サーバに変える：NPM に仕掛けられた高ステルス性のマルウェアとは？

Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication

2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。

Node.js の脆弱性 CVE-2025-23166 などが FIX：システム・クラッシュなどの恐れ

Node.js Alerts: High-Severity Flaw (CVE-2025-23166) Risks Remote System Crashes! Update Immediately!

2025/05/15 SecurityOnline — Node.js チームの最新のセキュリティ情報で公開されたのは、24.x／23.x／22.x／20.x リリース・ライン向けの重要な更新プログラムである。これらのパッチは、深刻度が Low から High までの、複数の脆弱性を修正するものだ。

Node.js ライブラリ xml-crypto の脆弱性 CVE-2025-29774／29775 が FIX：IoC も提供

Million-Download Node.js Library xml-crypto Hit by Critical Security Flaws (CVE-2025-29774, CVE-2025-29775)

2025/03/18 SecurityOnline — Node.js 向けの XML デジタル署名／暗号化ライブラリである xml-crypto に、２つの深刻な脆弱性が発見された。毎週 110万回以上ダウンロードを誇る、このライブラリの脆弱性を放置すると、XML 署名検証を利用するアプリケーションに広範な影響が生じる。

Axios JavaScript Library の深刻な脆弱性 CVE-2025-27152 が FIX：SSRF と PoC エクスプロイト

2025/03/10 SecurityOnline — 広く使用されている JavaScript ライブラリ Axios に、新たな脆弱性が発見された。この脆弱性 CVE-2025-27152 (CVSSv4：7.7) の悪用により、サーバサイド・リクエスト・フォージェリ (SSRF) や認証情報漏洩のリスクに、何百万ものユーザーがさらされるという。

CISA KEV 警告 25/01/14：Fortinet FortiOS の脆弱性 CVE-2024-55591 を登録

U.S. CISA adds Fortinet FortiOS to its Known Exploited Vulnerabilities catalog

2025/01/15 SecurityAffairs — 2025年1月14日に米国の CISA は、Fortinet FortiOS に存在する認証バイパスの脆弱性 CVE-2024-55591 (CVSS：9.6) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性の悪用に成功したリモートの攻撃者は、認証をバイパスし、細工した Node.js WebSocket リクエストを介して、管理者権限を取得する可能性を手にする。すでに Fortinet は、この脆弱性が実環境において悪用されていることを認めている。

FortiOS／FortiProxy の脆弱性 CVE-2024-55591 の悪用を確認：直ちにアップデートを！

Active Exploitation of CVE-2024-55591 (CVSS 9.6): FortiOS and FortiProxy Under Threat

2025/01/14 SecurityOnline — Fortinet FortiOS／FortiProxy に影響をおよぼす認証バイパスの脆弱性 CVE-2024-55591 (CVSS：9.6) だが、実環境での積極的な悪用が確認されている。この脆弱性の悪用に成功したリモートの攻撃者は、Node.js WebSocket モジュールを標的とする巧妙に細工されたリクエストを介して、管理者権限を取得する可能性を手にする。

Node.js の新たな試みによるセキュリティの強化：EoL バージョンに対する CVE の発行

Node.js to Issue CVE for End-of-Life Versions

2025/01/09 SecurityOnline — Node.js プロジェクトが発表したのは、サポートが終了したバージョン (EOL：End-of-Life) に対して、CVE を発行するという方針である。これは、ユーザーに最新状態の維持を促し、セキュリティ強化する、重要な取り組みである。Node.js の公式発表には、「Node.js 上で構築されたアプリケーションの、セキュリティと信頼性の確保に全力を尽くしている。この取り組みの一環として、ユーザーがセキュリティ・リスクに関する情報を常に把握できるよう、定期的に手段を見直している」と記されている。

Node.js の脆弱性 CVE-2024-56334 が FIX：ただちにアップデートを！

CVE-2024-56334: Command Injection Flaw Exposes Millions of Node.js Systems to Attack

2024/12/23 SecurityOnline — 広く使用されている Node.js 用パッケージ systeminformation に存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2024-56334 が確認された。このパッケージは、月間に 800万以上もダウンロードされ、総ダウンロード数は 3億3000万に上る。この脆弱性の悪用に成功した攻撃者は、任意の OS コマンドを実行することが可能となるが、パッケージの使用方法に応じて、リモート・コード実行 (RCE) や権限の昇格につながる可能性もある。

Node.js の脆弱性 CVE-2024-36138 が FIX：Windows 上で RCE の恐れ

CVE-2024-36138: High-Severity Vulnerability in Node.js Allows Code Execution on Windows

2024/07/08 SecurityOnline — Node.js プロジェクトが公開したのは、複数の脆弱性に対処するセキュリティ・アップデートであり、その中には、セキュリティ・バイパスと任意のコード実行へといたる、深刻度の高い脆弱性も含まれる。最も深刻な脆弱性 CVE-2024-36138 は、以前に問題となった CVE-2024-27980 (通称：BatBadBut) に対する、不完全な修正をバイパスするものだ。この脆弱性の悪用に成功した攻撃者は、Windows 上でシェル・オプションが無効化されている場合であっても、任意のコマンド・インジェクションが可能になる。この脆弱性は、Node.js の全リリース・ライン (v18.x／v20.x／v22.x) に影響を及ぼし、Windows ユーザーに深刻なリスクをもたらす。

MySQL2 の脆弱性 CVE-2024-21512 (CVSS：8.2) が FIX：PoC エクスプロイトも公開

CVE-2024-21512: MySQL2 Vulnerability Puts Millions of Downloads at Risk

2024/06/03 SecurityOnline — Node.js 用の MySQL クライアント・ライブラリとして人気があり、毎月 200万以上のダウンロードがある MySQL2 に、深刻な脆弱性 CVE-2024-21512 (CVSS：8.2) が発見された。この脆弱性は、プロトタイプ汚染に起因するものであり、リモート・コード実行につながる可能性が生じる。

Node.js パッケージ node-ip の脆弱性 CVE-2024-29415：SSRF 攻撃が生じる恐れ

CVE-2024-29415: Popular Node.js Package ‘node-ip’ Exposes Millions to Potential SSRF Attacks

2024/06/03 SecurityOnline — 人気の node-ip npm パッケージに、深刻な SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-29415 が発見された。このパッケージは、シンプルなコマンドライン・ツールを介して、コンピュータの IPv4 アドレスを取得するように設計されており、毎週 1,900 万件以上のダウンロードを誇っている。

Wiki.js の脆弱性 CVE-2024-34710 が FIX：アカウント乗っ取りにつながる恐れ

CVE-2024-34710: Wiki.js Vulnerability Exposes Users to Potential Account Takeover

2024/05/23 SecurityOnline — 人気のオープンソース Wiki エンジンである Wiki.js は、蓄積型 XSS (cross-site scripting ) の脆弱性 CVE-2024-34710 (CVSS：7.1) に対してパッチを適用した。この脆弱性の悪用に成功した攻撃者は、悪意のコードを注入し、ユーザー・アカウントを侵害する可能性があるが、その対象には昇格した特権を持つユーザーも含まれる。

Next.js Framework の脆弱性 CVE-2024-34350／34351 が FIX：ただちにパッチを！

CVE-2024-34350 & CVE-2024-34351: Two Vulnerabilities Patched in Popular Next.js Framework

2024/05/09 SecurityOnline — フルスタック Web アプリケーションの構築で用いられる、主要フレームワークである Next.js は、最新の React 機能と Rust ベースの JavaScript ツールの統合により、世界的な大企業に広く採用されている。しかし、先日の発見により、ユーザーデータやサーバの運用を危険にさらす可能性のある、深刻なセキュリティ脆弱性が露呈している。

node-mysql2 の脆弱性 CVE-2024-21508 などが FIX：PoC も公開！

Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack

2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508／CVE-2024-21509／CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。

BatBadBut コマンド・インジェクション：Windows 上の Rust／Node.js／PHP などに影響

‘BatBadBut’ Command Injection Vulnerability Affects Multiple Programming Languages

2024/04/12 SecurityWeek — 複数のプログラミング言語から、Windows アプリケーションのコマンド・インジェクションにつながるという深刻な脆弱性について、Flatt Security のバグハンターたちが警告している。この BatBadBut と名付けられた問題は、Windows オペレーティング・システムにおいて、”CreateProcess” 関数でバッチ (bat) ファイルが実行され、”cmd exe” プロセスが生成される際に、プログラミング言語がコマンド引数を適切に回避しないことに起因する。

Node.js の脆弱性 CVE-2024-27980 が FIX：ただちにアップデートを！

CVE-2024-27980: Critical Node.js Update Patches Windows Command Injection Flaw

2024/04/10 SecurityOnline — Node.js プロジェクトがリリースしたのは、Windows システムにおける深刻なコマンド・インジェクションの脆弱性 CVE-2024-27980 に対処する、緊急のセキュリティ・アップデートである。この脆弱性の悪用に成功した攻撃者は、シェル・オプションが無効化されている場合においても、影響を受けるマシン上での悪意のコード実行が可能になる。

Node.js の脆弱性 CVE-2024-27983／27982 が FIX：クラッシュと HTTP スマグリングの可能性

Node.js Security Update Addresses Server Crash, Request Smuggling Vulnerabilities

2024/04/03 SecurityOnline — Node.js プロジェクトがリリースしたのは、人気の JavaScript 実行環境における、アクティブなリリースライン v18.x／v20.x／v21.x に存在する、２つの脆弱性に対処するための重要なセキュリティ更新プログラムである。１つ目の脆弱性には、Node.js HTTP/2 サーバのクラッシュにいたる可能性があり、２つ目の脆弱性には、HTTPリクエスト・スマグリング攻撃を容易にする可能性がある。

CISA が OSS セキュリティ・サミットを開催：Principles for Package Repository Security とは？

CISA Outlines Efforts to Secure Open Source Software

2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、２日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。

Node.js の複数の脆弱性が FIX：広範な影響が指摘されている

Major Node.js Security Flaws: Millions of Apps Could Be Vulnerable

2024/02/15 SecurityOnline — 世界中の何百万人もの開発者が使用している、JavaScript 実行環境である Node.js が、先日に発表したセキュリティ更新プログラムは、複数の深刻度の高い脆弱性を対象としたものである。これらの脆弱性に直ちに対処して、アプリケーションを攻撃から防御する必要がある。

Visual Studio の RCE 脆弱性 CVE-2023-36742：PoC エクスプロイトが公開

PoC Exploit Published for Visual Studio Code RCE Vulnerability (CVE-2023-36742)

2023/11/21 SecurityOnline — Visual Studio Code のリモート・コード実行の脆弱性 CVE-2023-36742 (CVSS：7.8) の、技術的詳細および PoC エクスプロイトが、セキュリティ研究者たちにより公表された。この、VS Code 1.82.0 以下に存在する脆弱性は、悪意を持って細工された package.json ファイルで作業する際に発生するものであり、ローカルでのコマンド実行につながるものだ。悪用のシナリオは、VS Code ユーザーに悪意のプロジェクトを開かせ、package.json ファイルの依存関係セクションにある、不正なエントリを操作させることで展開される。

NPM パッケージの Manifest Confusion ：チェックのための Python ツールがリリース

New Python tool checks NPM packages for manifest confusion issues

2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発／公開された。先週に、GitHub／NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。

NPM の根幹を揺るがす Manifest Confusion：パッケージ情報が信頼できない理由

NPM ecosystem at risk from “Manifest Confusion” attacks

2023/06/28 BleepingComputer — NPM (Node Package Manager) レジストリには、Manifest Confusion と呼ばれるセキュリティ上の欠陥が存在する。具体的に言うと、それにより、依存関係を用いたマルウェアの埋め込みや、インストール中における悪意のスクリプトの実行などが生じ、パッケージの信頼性が損なわることになる。NPM は、JavaScript プログラミング言語用のパッケージ・マネージャであり、広く使用されている Node.js のデフォルト環境である。このパッケージ・マネージャーは、npmjs.com に置かれた npm registry データベースにホストされている、ソフトウェア・パッケージのインストール／アップグレード／コンフィグレーションを、プロジェクト・オーナーが自動化できるよう支援するものである。

Facebook を攻撃する NodeStealer は情報窃取マルウェア：セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta／Gmail／Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。

Splunk Enterprise の複数の深刻な脆弱性が FIX：早急なパッチ適用が推奨されている

Splunk Enterprise Updates Patch High-Severity Vulnerabilities

2023/02/15 SecurityWeek — 2月14日に Splunk は、Splunk Enterprise のアップデートを発表した。それにより、同製品で使用されるサードパーティ・パッケージに影響を与える、複数の深刻な脆弱性が解決されることになる。最も深刻な脆弱性は CVE-2023-22939／CVE-2023-22935 (CVSS：8.1) であり、危険なコマンドに対する Search Processing Language (SPL) セーフガードが、バイパスされる可能性が生じるという。どちらの脆弱性も、Splunk Web を有効にしたインスタンスに影響するが、前提として高特権ユーザーによるブラウザ・リクエストが必要となる。

NPM／PyPI に悪意のパッケージ：Python-drgn と bloxflip に要注意

Malicious NPM, PyPI Packages Stealing User Information

2023/02/01 SecurityWeek — NPM／PyPI に存在するパッケージの中に、ユーザー情報の窃取と追加のペイロードをダウンロードの行うものあると、先日に Check Point と Phylum が警告を発した。アプリケーション開発において広く利用されているオープンソース・コードを悪用する脅威アクターたちは、開発者とユーザーをマルウェアに感染させるために、ソフトウェア・サプライチェーン攻撃を多用している。2022年10月の Sonatype のレポートによると、2022年に観測されたソフトウェア・サプライチェーン攻撃の数は、前年比 633% 増となっている。

Java と .NET のデベロッパー：大量の脆弱性に対峙する理由を解明

Java, .NET Developers Prone to More Frequent Vulnerabilities

2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75％が、OWASP Top-10 に含まれる脆弱性を、少なくとも１つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の２つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも１つの深刻な脆弱性を抱えていることも明らかになった。

npm 悪意のライブラリ侵入経路が判明：プレ・リリース・バージョンに要注意

Researchers Find a Way Malicious NPM Libraries Can Evade Vulnerability Detection

2022/11/30 TheHackerNews — サイバー・セキュリティ企業である JFrog の最新調査によると、npm エコシステムを標的とするマルウェアは、npm Command Line Interface (CLI) ツールの “unexpected behavior” を悪用することで。セキュリティ・チェックを回避できることが判明した。

NPM の深刻なバグ：不正ライブラリを正規のものとして混入する問題が FIX

NPM Bug Allowed Attackers to Distribute Malware as Legitimate Packages

2022/04/26 TheHackerNews — Node.js JavaScript 実行環境における、デフォルト・パッケージ・マネージャである NPM の「論理的欠陥」により、悪意の行為者が不正ライブラリを正規のものとして見せかけ、騙された開発者にインストールさせることが可能であることが判明した。このサプライチェーンの脅威は、クラウド・セキュリティ企業である Aqua の研究者たちにより、Package Planting と名付けられている。2月10日に Aqua から開示され、4月26日には NPM により、問題の根本が修正された。

悪意の NPM パッケージを量産：サプライチェーン攻撃のための驚異のシステム

A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages

2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに１つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。

25 種類の悪意の JavaScript ライブラリ：NPM 公式パッケージ・レジストリ

25 Malicious JavaScript Libraries Distributed via Official NPM Package Repository

2022/02/22 TheHackerNews — 悪意を持った 25種類の JavaScript ライブラリが、公式の NPM パッケージ・レジストリに新たに登録され。感染したシステムから Discord トークンや環境変数を盗みだそうとしている。DevOps セキュリティ企業である JFrog は、「問題のライブラリは typosquatting 技術を活用し、colors.js／crypto-js／discord.js／marked／noblox.js といった正規パッケージを装っているが、これらのパッケージは “ビギナー・マルウェア作者の作品” だ」と指摘している。

Node.js NPM パッケージにバックドア：2200万回／週も DL される人気のライブラリ

Two NPM Packages With 22 Million Weekly Downloads Found Backdoored

2021/11/07 TheHackerNews — オープンソース・ソフトウェアのリポジトリを標的とした、新たなサプライチェーン攻撃が発生した。毎週の累積ダウンロード数が、約2,200万にも上る人気の NPM パッケージ２つが、開発者のアカウントへの不正アクセスにより、悪意のコードで侵害されていたことが判明した。

Juniper Networks がセキュリティ・アドバイザリを発表：70件以上の脆弱性に対応

Juniper Networks released +40 security advisories to fix +70 vulnerabilities

2021/10/15 SecurityAffairs — サイバーセキュリティ・プロバイダーの Juniper Networks は、同社のソリューションに影響する 70件以上の脆弱性に対処するため、40以上のセキュリティ・アドバイザリを発表した。

Node.js NPM の Proxy Auto-Configuration パッケージに深刻な脆弱性が発見される

Critical Bug Reported in NPM Package With Millions of Downloads Weekly

2021/09/13 TheHackerNews — JavaScript 用の NPM パッケージ Pac-Resolver に存在する、深刻なリモートコード実行の脆弱性に対する修正プログラムが提供された。さまざまな局面で利用される Pac-Resolver だが、この脆弱性が悪用されると、HTTP リクエストが送信されるたびに、Node.js アプリケーション内で悪意のコードが実行される可能性がある。この脆弱性 CVE-2021-23406 は、CVSS 値が 8.1 であり、Pac-Resolver の 5.0.0 以前のバージョンに影響する。