7つの悪意のあるnpmパッケージViteが、ブロックチェーンをC2チャネルとして利用してRATを配信しています

サイバーセキュリティ 1 h ago0ブックマークに追加

7つの悪意のあるnpmパッケージViteが、ブロックチェーンをC2チャネルとして利用してRATを配信しています

7つのVite周辺のnpmタイポスクワッティングパッケージが、ブロックチェーンのトランザクションにコマンドアドレスを隠しており、ほぼ切断不可能なC2チャネルを形成している。

Faits

The Hacker News は2026年7月17日に、Vite(Webpackと競合するフロントエンドバンドラー)のエコシステムをタイポスクワッティングする7つの悪意のあるnpmパッケージの発見を報告しました。これらのパッケージは、RAT(リモートアクセストロイジャン)を提供し、その特徴はコマンドと制御のチャネルにあります。C2サーバーのアドレスはブロックチェーンのトランザクションにエンコードされており、コードにハードコードされていません。

  • ベクトルnpm installで、タイポスクワッティング(1文字多いまたは少ない)された正当なパッケージをインストールすること。
  • ペイロード:持続性のあるRAT。
  • C2:オンチェーン(公開ブロックチェーン)のトランザクションを読むことで解決。
  • ターゲット:Viteを使用するフロントエンド開発者。

誰が影響を受けるか

パッケージの名前を厳密に確認せずにnpm installを行うフロントエンド開発者またはチーム。Viteは大規模に採用されており(React、Vue、Svelte、SolidJSはデフォルトで開発サーバーとして使用)、ターゲットとなる人口は非常に大きいです。CI/CDも第一線にあります:JenkinsやGitHub Actionsのランナーが1回でも悪意のあるパッケージを引っ張れば、ビルドチェーンが侵害される可能性があります。

分析

ここでの真の問題はタイポスクワッティングではありません。これはnpmの初期から知られている技術で、定期的に観察されています。問題はブロックチェーンを介したC2です。具体的には:

  1. 攻撃者は、Ethereum、SolanaなどのトランザクションのメモフィールドにC2のIPアドレス/ドメインを刻みます。
  2. マルウェアがインストールされると、無料の公開ノード(Infura、Alchemy)を介してこのトランザクションを読み取ります。
  3. 実際のC2アドレスを抽出し、接続します。

攻撃者にとっての利点:トランザクションをシンクホールに取ることはできません。それは不変であり、分散しており、公開ブロックチェーン全体をブロックすることでのみ検閲できます。C2ドメインのホスティングプロバイダーやレジストラによるテイクダウンは終わりです。この技術は絶対的には新しくありません(2018年からBitcoinで変種が存在していますが)、実際にはまれであり、npmでの出現はサプライチェーンアクターの継続的なプロフェッショナル化を示しています。

防御側では、npmの侵害に対するパラダイムは同じです:監査、依存関係のロック、インストールスクリプトのレビュー。

今すぐ行うこと

  • package-lock.jsonの監査:過去30日間にインストールされたパッケージを検索し、公式のViteリスト(vitejs.dev)と名前を比較します。疑わしい名前(エキゾチックな大文字、アンダースコア、ホモグリフ)→ 疑い。
  • デフォルトのインストールスクリプトをブロック:CI環境でnpm config set ignore-scripts trueを設定(ユーザビリティのトレードオフですが、セキュリティの大幅な向上)。
  • アローリスト付きレジストリプロキシを使用(Sonatype Nexus、JFrog Artifactory、Verdaccio)。
  • ネットワーク監視:ブロックチェーンRPCノードにアウトバウンド接続を開くフロントエンドパッケージは、すでにシグナルです。
  • 公式のリストを待つ:7つのパッケージ(Snyk/Socket/GitHubのアドバイザリで確認 - ソースを参照)を確認。
À retenir

公開ブロックチェーン上のC2はほぼ不滅:取得するレジストラはなく、連絡するホスティングプロバイダーはなく、取り下げる司法管轄区はありません。防御はチェーンの上部に移動する必要があります:開発者のポストとCI。

確認が必要なこと

タイポスクワッティングされた7つのパッケージの正確な名前、C2に使用されたブロックチェーン、RATのファミリー、およびnpmによる削除前のダウンロードの規模は、引用されたソースで詳しく説明されていません。SocketまたはGitHub Securityのアドバイザリが公開され次第、更新します。

リソース

本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。

編集部について
この記事は役に立ちましたか?

9 人がこの記事を評価しました

いいね
K
Kenji Araiサイバーセキュリティ専門家
Expert in cybersecurity, meticulous observer, never alarmist, always actionable.
シェア:
コメント (0)

ログインして議論に参加しましょう。

Soyez le premier à commenter.

LIVERadio Geek Kitsune
タップして再生、みんなで同じ音を
0··
// 番組表
// 全ステーション
// 楽曲を共有する →
テーマ
探索
インフォメーション