NPMに悪意あるパッケージが氾濫し、8万6,000回以上ダウンロードされる

セキュリティ研究者は、8月以降攻撃者に悪用されているNPMコードリポジトリの重大な脆弱性を発見しました。この弱点により、資格情報を盗む目的の100以上の悪意あるパッケージが侵入し、多くは長期間検出されませんでした。セキュリティ企業Koiは水曜日にこの問題を公表し、NPMのパッケージ依存関係の取り扱いに重大な欠陥があることを強調しました。プラットフォームは、インストールされたパッケージが適切な検証なしに信頼できないソースから他のパッケージを自動的に取得・実行できるため、危険な攻撃経路を生み出しています。\n\n「PhantomRaven」キャンペーンとして知られる攻撃者は、NPMのリモート動的依存関係（RDD）機能を悪用しました。この機能は、パッケージが外部のしばしば信頼できないドメインから依存関係を動的にダウンロードできるようにし、暗号化されていないHTTP接続も含まれます。従来の依存関係は可視かつ固定されていますが、RDD依存関係は通常の方法で宣言されないため、開発者や多くのセキュリティツールには見えません。KoiはPhantomRavenが126の悪意あるパッケージをNPMに氾濫させ、合計で8万6,000回以上ダウンロードされたと報告しました。驚くべきことに、水曜日の朝時点で約80の危険なパッケージがまだダウンロード可能でした。\n\nPhantomRavenによるRDDの悪用は特に懸念されます。なぜなら、静的解析ツールや他の一般的なセキュリティ対策を回避するからです。依存関係はパッケージがインストールされるたびに攻撃者が管理するサーバーから新たに取得され、キャッシュやバージョン管理がされないため、悪意あるペイロードの追跡や検出が非常に困難です。攻撃者が使用するURLの中には、packages.storeartifact.comのような疑わしいドメインがあり、これらの隠された依存関係を密かに提供してユーザー環境を侵害しています。透明性の欠如により、開発者はこれらのパッケージに依存関係がないと見なしてリスクを過小評価しています。\n\nこの発見は、動的かつ実行時に取得される依存関係が見えず、検査されないという従来のセキュリティツールの明白な盲点を浮き彫りにしました。Koiのセキュリティアナリスト、オレン・ヨムトフは、攻撃者がこれらのギャップをますます巧妙に悪用しており、検出と防止がより困難になっていると指摘しました。RDDが開発者に多様なソースからオンデマンドでライブラリを利用する柔軟性を提供する一方で、規制されなければ重大なセキュリティリスクを招く扉を開いています。\n\n全体として、PhantomRavenキャンペーンはNPMエコシステム内でのより厳格な監視と強化されたセキュリティ慣行の緊急性を強調しています。NPMパッケージに依存する開発者や組織は、このような見えない動的に取得される脅威の可能性を認識しなければなりません。より良い安全対策が実装されるまで、改ざんされたパッケージのインストールリスクは高く、数百万のユーザーが資格情報の窃盗やその他の悪意ある活動にさらされる可能性があります。この事件は、ソフトウェア開発コミュニティ全体に依存関係管理と検証プロセスの再考を促す警鐘となるべきです。