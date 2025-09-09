2025年09月09日 12時50分 セキュリティ

週間ダウンロード数合計26億回以上の人気npmパッケージ18種類にマルウェア注入の可能性、npm開発者アカウントが乗っ取られて大騒ぎに



Node.jsのパッケージ管理システム「npm」の開発者アカウントが乗っ取られ、多数のパッケージにマルウェアが注入されたことが分かりました。



npm debug and chalk packages compromised

https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised





Hackers hijack npm packages with 2 billion weekly downloads in supply chain attack

https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/



18 Popular Code Packages Hacked, Rigged to Steal Crypto – Krebs on Security

https://krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-steal-crypto/



セキュリティ企業のAikido Securityによると、攻撃者は開発者のJosh Junon氏にフィッシングメールを送り、認証情報を取得。npmで管理されている複数のパッケージに悪意のあるコードを注入し、配布し始めたとのこと。



悪意のあるコードにより、ウェブサイトを通じて実行される仮想通貨の取引が監視され、悪意のある人物に取引が乗っ取られる可能性があります。





Aikido Securityによると、日本時間の2025年9月8日22時頃から、悪意のあるコードが含まれていると思われる一連のパッケージがnpmにプッシュされているという警告を確認したとのこと。対象となるパッケージは非常に人気のある18個のパッケージで、週間ダウンロード数は全部合わせて26億回に上ります。



この事象が検出されて以降、npmチームは攻撃者によって公開された悪意のあるバージョンのいくつかを削除しました。





Junon氏によると、フィッシングメールは正規アドレスのnpmjs.comに酷似した[email protected]というアドレスから送信されていたとのこと。メールには「アカウントセキュリティへの継続的な取り組みの一環として、全ユーザーに二要素認証情報の更新をお願いしております。記録によれば、お客様の最終更新から12カ月以上が経過しています」などと記載され、フィッシングサイトへのリンクが貼られていました。なお、フィッシングメールのドメインはメール送信のたった2日前に取得されたものだとの指摘があります。



Junon氏は「乗っ取られました。申し訳ありません。本当に恥ずかしいです。一見、正当なサイトだと思いました。言い訳をしているわけではありません。ただ、長い一週間を過ごし、朝から忙しくしていて、やることを消化しようとしていただけです。いつもならサイトに直接アクセスするところ、モバイル端末だったので、メールのリンクをクリックするというミスを犯してしまいました」と報告しています。



フィッシングメールを受信した者からの報告によると、攻撃者は同様のメールを用いて他のパッケージ管理者と開発者も標的にしていたとのこと。なお、セキュリティ企業のPrivyは「影響を受けるには、パッケージが侵害された約2時間半の間に新規インストールを行い、その間にpackage-lock.jsonを作成するなど特定の条件を満たす必要があり、その影響は想定より大幅に減少するでしょう」と指摘しています。

