ReversingLabsは5月18日(米国時間)、「RATs found hiding in the npm attic」において、npmリポジトリに悪意のあるパッケージが複数追加されていると伝えた。「TurkoRat」と呼ばれているインフォスティーラが含まれた悪質なnpmパッケージが特定されている。

RATs found hiding in the npm attic

発見された悪意あるnpmパッケージは次のとおり。

nodejs-encrypt-agentバージョン6.0.2

nodejs-encrypt-agentバージョン6.0.3

nodejs-encrypt-agentバージョン6.0.4

nodejs-encrypt-agentバージョン6.0.5

nodejs-cookie-proxy-agentバージョン1.1.0

nodejs-cookie-proxy-agentバージョン1.2.0

nodejs-cookie-proxy-agentバージョン1.2.1

nodejs-cookie-proxy-agentバージョン1.2.2

nodejs-cookie-proxy-agentバージョン1.2.3

nodejs-cookie-proxy-agentバージョン1.2.4

axios-proxyバージョン1.7.3

axios-proxyバージョン1.7.4

axios-proxyバージョン1.7.7

axios-proxyバージョン1.7.9

axios-proxyバージョン1.8.9

axios-proxyバージョン1.9.9

nodejs-encrypt-agentおよびnodejs-cookie-proxy-agentは2カ月ほど前から公開されており、これまでnodejs-encrypt-agentは約500回ダウンロードされ、nodejs-cookie-proxy-agentは約700回ダウンロードされている。axios-proxyはnodejs-cookie-proxy-agentと依存関係にあるパッケージとされ、これらのパッケージはReversingLabsの研究者によって発見された後、すぐにnpmリポジトリから削除されている。

TurkoRatは感染したシステムからログイン情報や暗号資産ウォレットなどの機密情報を盗むことを目的としたオープンソースの情報窃取型マルウェア。サンドボックス環境およびデバッガを欺くまた無効にする機能などが含まれている。

オープンソースソフトウェアのパッケージエコシステムに偽のパッケージを追加してサイバー攻撃を行う手法が常態化している。開発者はサードパーティのパッケージを使用する際は、対象とするパッケージが正規のものであるか注意深く内容を確認することが望まれている。