The Hacker Newsは4月10日(米国時間)、「Hackers Flood NPM with Bogus Packages Causing a DoS Attack」において、npmリポジトリに悪意のあるパッケージが大量に追加されているとして、注意を喚起した。攻撃者がNode.jsのオープンソースパッケージリポジトリであるnpmに偽のパッケージを多量に流し込み、一時的にサービス運用妨害(DoS: Denial of Service)を発生させたことが明らかとなった。

Hackers Flood NPM with Bogus Packages Causing a DoS Attack

npmユーザーを標的とした新たなサイバー攻撃が発見された。検索エンジンでオープンソースリポジトリが上位に表示されることを悪用し、不正なWebサイトを作成してREADME.mdファイル内にそれらのWebサイトへのリンクを含む空のnpmパッケージをリポジトリに大量にアップロードする攻撃が行われたことがわかった。

オープンソースのエコシステムはすでに検索エンジン上で高い評価を得ているため、新たなパッケージが登場すると検索エンジンで上位にインデックスされることがある。脅威者は悪意のパッケージをnpmユーザーの目にとまりやすくさせるため、その仕組みを悪用したと考えられている。

このサイバー攻撃ではプロセス全体が自動化されていたため、多くのパッケージをリポジトリに公開することで生じる負荷が発生している。npmパッケージが約80万から約142万に劇的に増加したと報告されており、2023年3月末にnpmが断続的に不安定になったことが確認されている。

このキャンペーンの背後には複数の攻撃者がいると見られており、RedLine Stealer、Grupteba、SmokeLoader、暗号資産マイナーなどのマルウェアの配布に使われた可能性があると分析されている。また、自動化されたキャンペーンを防ぐためnpmに対し、ユーザーアカウント作成時にボット対策技術を取り入れるよう助言している。