Aikido
無料で始める
CC不要
ブログ
/
脆弱性と脅威

フィッシング詐欺:カスタム認証情報収集ページを提供するnpmパッケージ

チャーリー・エリクセンチャーリー・エリクセン
|
#マルウェア
#NPM
#ソフトウェア・サプライチェーンのセキュリティ
掲載日
2026年1月23日
最終更新日
2026年1月23日

2026年1月20日 18:03 UTC、当社のシステムは新しいnpmパッケージについて警告を開始しました。 フロッカリ攻撃者は26分以内に4つのバージョンを公開した。2日後、彼らは公開ラッシュを開始した: オプレスク, prndn, oprnmそして オペルニ詳しく調査を進めるうちに、欧州、中東、米国にまたがる産業・エネルギー企業の従業員を標的とした、高度に標的を絞ったスピアフィッシング攻撃キャンペーンが明らかになった。

配信メカニズムは? npm + jsDelivr。だって、他人のCDNにタダ乗りできるのに、わざわざ自分でフィッシングインフラをホストする必要なんてある?

私たちが発見したもの

パッケージには単一のJavaScriptファイルが含まれており、これが読み込まれるとウェブページ全体がフィッシングキットに置き換わります。しかし興味深い点は、各バージョンが特定の個人を標的としていることです。

5社にまたがる5つのターゲットを発見しました:

  • フロッカリ v1.2.5は、フランスの複合材メーカーであるCQFD Compositesの担当者向けに設計されています
  • フロッカリ v1.2.6はスペインの風力タービン企業インゲチームの関係者を標的としている
  • オプレスク v1.0.0は、UAEのEV充電会社であるEmagineの担当者向けです
  • prndn そして oprnm 両社とも、ドイツの工業用混合装置メーカーであるAmixon GmbHの同じ人物をターゲットとしている
  • オペルニ v1.2.7は、米国の製パン機器メーカーであるCMC Americaの担当者向けです

攻撃者は手当たり次第に攻撃しているわけではない。各標的に対して新たなパッケージを公開している。そして特定の標的に特に興味を持った場合、異なる配信経路を持つ複数のパッケージを公開する。

攻撃フロー

被害者がフィッシングリンクを開くと、次のようなことが起こります。

ページが読み込まれると、偽の「Micro-Share」ファイル共有インターフェースが表示される:

📁 マイクロシェア
   セキュアなファイル共有
   共有文書を安全に 保護するため 、メールアドレスの確認 をお願いします
   以下の文書が  [被害者]@ingeteam.comに安全に 共有されました 

   📄 仕様書.pdf
      - 見積依頼書.pdf
      - プロジェクト概要.pdf
      - 機器最終配送先.pdf

                   [ ダウンロード ]

これらの文書は技術関連の内容です:見積依頼書、プロジェクト仕様書、CADファイル。まさに工業系企業で働く人が受け取るであろう書類そのものです。

被害者が「ダウンロード」をクリックすると、ページはマイクロソフトブランドのログイン画面に遷移します:

⊞ Microsoft

にサインイン
⚠ 認証が必要です。 サインイン して  ダウンロードを続行するには[次へ]をクリックしてください 

┌────────────────────────────────────────┐
│ [被害者]@ingeteam.com                  │  (読み取り専用)
└────────────────────────────────────────┘

アカウントをお持ちでない場合 作成する
アカウントにアクセスできない場合

                             [ 次へ ]

被害者のメールアドレスは既に事前入力され、読み取り専用に設定されています。「次へ」をクリックすると、認証情報収集サーバーへ転送されます:

window.location.href = "https://login.siemensergy[.]icu/DIVzTaSF";

うん、 シーメンス・エナジー[.]icuこれはシーメンス・エナジーのタイポスクワッティングです。攻撃者は標的が取引する相手について入念に調査したことが明らかです。

ボット対策のトリック

フィッシングキットは手加減していない。自動分析を回避するための複数の手法が含まれている。

WebDriver(navigator.webdriver)の存在、空のプラグインリスト、画面サイズがゼロであるかどうかをチェックします。ユーザーエージェントが一致するものをフィルタリングします。 /bot|crawl|spider|headless|HeadlessChrome/i. ボットが入力するとキルスイッチが作動するハニーポット形式の入力フィールドが含まれています。また、ダウンロードボタンはページがマウスの動きやタッチイベントを検知するまで無効化されたままです。操作がなければ、フィッシングも発生しません。

v1.2.5 驚くほど洗練されたマウストラジェクトリ分析機能を備えている:

isLegitimateTrajectory() {
  if (this.mouseTrail.length < 20) return false;
  const t = this.mouseTrail.slice(-10);
  const variance = t.reduce((acc, p) => 
    acc + Math.pow(p.x - t[0].x, 2), 0) / 10;
  return variance > 100;
}

これは直近10回のマウス位置のばらつきを計算します。カーソルが不自然に直線的に動いた場合(ボットのように)、ばらつきは低く抑えられ、ボタンは有効になりません。実際の人間は揺らぎます。

誰かがこのフィッシングキットに本気の労力を注いでいる。

五つのパッケージ、五つのターゲット、二つのテンプレート

ペイロードのバージョンは単に異なるユーザーを標的にしているだけではありません。それらは2つの異なるフィッシングキットの設計を使用しています。

会社情報 v1.2.5 ペイロード(標的はCQFD Composites)は、紫色のグラデーションとInterフォントを使用した「MicroSecure Pro」ブランドを採用している。CADファイルやエンジニアリング成果物を餌として提示し、高度なマウス軌跡解析機能を備え、認証情報をoprsys.deno[.]devへ送信する。

残りの部分(v1.2.6, オプレスク, prndn, oprnm, オペルニよりクリーンな「Micro-Share」デザインを採用し、白背景とSegoe UIフォントを使用しています。見積依頼書(RFQ)やプロジェクト仕様書を表示し、基本的な操作検証を行い、認証情報をシーメンス・エナジーのタイポスクワットサイトへ送信します。

会社情報 v1.2.5 キットはアニメーションやグラデーション背景でより派手なデザインです。新しいキットはよりミニマルで、実際のMicrosoftの見た目により近いものになっています。おそらく攻撃者はA/Bテストを行い、シンプルなデザインの方がコンバージョン率が高いと判明したのでしょう。あるいは単に改良を重ねているだけかもしれません。

CMC Americaペイロード(オペルニ食品業界向けにカスタマイズされた文書型エサを用意している:「製品仕様と原材料詳細」、「生産能力目標と運用パラメータ」。攻撃者はエサを仕込んでいる。

興味深いのはC2の選択だ。最近の標的は全てシーメンス・エナジーのタイポスクワットに誘導されている。これは偶然ではない。インゲチームは風力タービンを製造する。エマジンはEV充電インフラを手掛ける。アミクソンとCMCアメリカは産業用混合装置を製造する(アミクソンは電池材料分野でも活動)。いずれもシーメンス・エナジーが主要プレイヤーとして参入している市場で事業を展開している。攻撃者は標的企業のビジネス関係を調査したのだ。

微妙な進化に注目せよ: シーメンス・エナジー[.]icu (ハイフンなし) となった シーメンス・エナジー[.]icu (ハイフン付き)。第二の変種は実際の状態により近い。 シーメンス・エナジー[.]com ドメイン。DNS経由で、ハイフンなしのドメインには一切のレコードが存在しないことを確認しました。攻撃者はこれを放棄しました。

インフラは物語を語る

ここからが興味深い点だ。証明書透明性ログを用いてC2インフラの構築時期を調査したところ、*.siemens-energy[.]icuドメイン向けの最初のSSL証明書は2025年10月24日に発行されていた。その後、1月14日、16日、17日に更新が行われている。npm攻撃キャンペーンは1月20日に開始された。

攻撃者はnpmパッケージが登場する3か月前にドメインを登録し、SSL証明書を取得していた。この事実を噛みしめてほしい。これは単なる便乗ではない。誰かがこの作戦を計画し、2025年10月にインフラを構築し、その後待機していたのだ。

C2サーバー(163.123.236[.]118)はミシガン州マスケゴンにある小規模なホスティングプロバイダー、RackGeniusによってホストされています。一方、古い v1.2.5 ペイロードの使用 オペレーティングシステム.デノ[.]開発これはGoogle Cloudインフラストラクチャ(Deno Deploy)に解決されます。フィッシング用の無料サーバーレスホスティング。古典的ですね。このキャンペーンを検知した際、Denoチームに通知したところ、彼らは迅速にこれを削除しました。 

なぜnpmとjsDelivrなのか?

package.jsonが物語を語る:

{
  "keywords": ["jsdelivr", "cdn", "template"],
  "main": "resp/template.min.js"
}

jsDelivrはnpmパッケージを自動的にミラーリングします。npmに公開すると、即座にCDNホスティングが利用可能になります。 cdn.jsdelivr[.]net/npm/flockiali@1.2.6/resp/template.min.jsサーバーの維持管理も不要、ホスティング費用も不要、そして被害者は怪しいフィッシングドメインではなく、正規に見えるCDN URLを目にする。

タイムライン

1月20日(26分で4バージョン):

  • 18:03 UTC: フロッカリ v1.2.3 (空のプレースホルダー)
  • 18:10 UTC: フロッカリ v1.2.4 (メタデータ更新)
  • 18:15 UTC: フロッカリ v1.2.5 (CQFD Composites ターゲット)
  • 18:29 UTC: フロッカリ v1.2.6 (インゲチーム対象)

1月22日(さらに5個):

  • 09:52 UTC: オプレスク v1.0.0 (Emagine ターゲット)
  • 12:29 UTC: prndn v1.0.0 (Amixon ターゲット)
  • 12:49 UTC: oprnm v1.0.0 (Amixon again)
  • 13:11 UTC: オペルニ v1.2.6 (破損、空)
  • 13:16 UTC: オペルニ v1.2.7 (CMCアメリカ向け)

攻撃者は標的リストを所持しており、順次実行中だ。Amixon社員は20分間隔で2つの小包を受け取った(やりすぎじゃないか?)。CMC Americaの小包にはタイプミスがあった(レップス/ 代わりに レスポンス/そして壊れた最初のバージョン。おっと。この攻撃者は素早く動いていてミスを犯している。

どうすればいいですか?

対象企業に所属している場合は、jsDelivr URLへのリンクを受け取った者や、「Micro-Share」文書共有に関連する何かをクリックした者がいないか確認してください。

メールログを検索し、以下のリンクを含むものを抽出する cdn.jsdelivr[.]net/npm/flockiali, cdn.jsdelivr[.]net/npm/opresc, cdn.jsdelivr[.]net/npm/prndn, cdn.jsdelivr[.]net/npm/oprnmまたは cdn.jsdelivr[.]net/npm/operni境界でIOCドメインをブロックしてください。認証情報が入力された場合は、直ちにローテーションしてください。

妥協の指標

C2ドメイン:

  • ログイン.シーメンス・エナジー[.]icu (163.123.236[.]118, RackGenius)
  • ログイン.シーメンスエナジー[.]icu (放棄済み、DNSなし)
  • オペレーティングシステム.デノ[.]開発 (34.120.54[.]55Deno Deploy)

フィッシングURL:

  • https://login.siemensergy[.]icu/DIVzTaSF
  • https://login.siemens-energy[.]icu/DIVzTaSF

jsDelivr URL:

  • hxxps://cdn.jsdelivr[.]net/npm/flockiali@1.2.6/resp/template.min.js
  • hxxps://cdn.jsdelivr[.]net/npm/flockiali@1.2.5/resp/template.min.js
  • hxxps://cdn.jsdelivr[.]net/npm/opresc@1.0.0/resp/template.min.js
  • hxxps://cdn.jsdelivr[.]net/npm/prndn@1.0.0/template.min.js
  • hxxps://cdn.jsdelivr[.]net/npm/oprnm@1.0.0/resp/template.min.js
  • hxxps://cdn.jsdelivr[.]net/npm/operni@1.2.7/reps/template.min.js

パッケージ:

  • フロッカリ (1.2.3-1.2.6)
  • オプレスク (1.0.0)
  • prndn (1.0.0)
  • oprnm (1.0.0)
  • オペルニ (1.2.6-1.2.7)

ペイロードのハッシュ値(SHA256):

  • 3ceb182fb32a8fb0f0fcf056d6ab8de1cf6e789053f1aadc98ba315ae9a96f0c – flockiali 1.2.6
  • fdb6c79a8d01b528698c53ebd5030f875242e6af93f6ae799dee7f66b452bf3e – flockiali 1.2.5
  • 4631584783d84758ae58bc717b08ac67d99dee30985db18b9d2b08df8721348e – お急ぎください
  • 211f88a55e8fe9254f75c358c42bb7e78e014b862de7ea6e8b80ed1f78d13add – prndn/oprnm
  • 7d7f795ac1fcb5623731a50999f518877fd423a5a98219d0f495c488564a1554 – operni 1.2.7

4.7/5

今すぐソフトウェアを保護しましょう

無料で始める
CC不要
デモを予約する
データは共有されない - 読み取り専用アクセス - CC不要
著:
チャーリー・エリクセン

マルウェア・リサーチャー

チャーリー・エリクセンは、Aikido のセキュリティ研究員であり、製品開発やリーダーシップ職を含むITセキュリティ分野で豊富な経験を持つ。jswzlの創設者であり、以前はSecure Code Warriorでセキュリティ研究員として勤務し、Adversaryを共同設立した。

ジャンプする
テキストリンク

今すぐソフトウェアを保護しましょう

無料で始める
CC不要
無料で始める
CC不要
デモを予約する
シェアする

https://www.aikido.dev/blog/npm-supply-chain-phishing-campaigns

関連記事
2026年1月14日

「No Bullsh*t Security」から10億ドルへ:6000万ドルのシリーズB資金調達を完了

Aikido 、自己防御型ソフトウェアと継続的ペネトレーションテストのビジョンを加速させるため、企業価値10億ドルで6000万ドルのシリーズB資金調達をAikido 。

タグ
2025年12月15日

IDE内のSASTが無料化:開発が実際に行われる場所へSASTを移行

IDE内で直接SASTスキャンを実行し、リアルタイムフィードバックとプロジェクト全体の可視性を実現。Aikidoと同じSASTルールとエンジンを使用し、対応する検出結果に対してオプションの自動修正機能を利用可能。

タグ
2025年11月28日

どこでもSCA:IDEでオープンソースの依存関係をスキャンして修正する

エディタ内スキャンとAutoFixにより、SCAワークフローを完全にIDEに取り込むことができます。開発ワークフローを離れることなく、脆弱なパッケージを検出し、CVEをレビューし、安全なアップグレードを適用します。

タグ

今すぐ安全を確保しましょう

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャン開始
CC不要
デモを予約する
クレジットカードは不要。

#マルウェア

#NPM

#ソフトウェア・サプライチェーンのセキュリティ