Checkmarxはこのほど、「“CuteBoi” Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users|Checkmarx.com」において、サイバー攻撃者がnpmユーザーを標的にした大規模な暗号資産マイニングキャンペーンを準備中であると伝えた。Checkmarxのセキュリティ研究チームが先日、多くの不審なnpmユーザーと自動的に作成された大量のnpmパッケージを見つけたという。
1000を超える異なるユーザーアカウントによって1200を超えるnpmパッケージがレジストリにリリースされるというキャンペーンが発見された。Checkmarxはこのキャンペーンを実行したサイバー攻撃者を「CuteBoi」と名付け、npm二要素認証チャレンジをパスする機能を含む自動化ツールによって行われたものと分析している。
調査によって、eazyminerという既存パッケージと同じソースコードがリリースされたすべてのパッケージに埋め込まれていることが判明した。eazyminerはWebサーバ上の未使用のリソースを使って暗号資産「Monero」をマイニングするツール。構成ファイルにいくつかの変更が加えられており、おそらくXMRig-proxyが実行されるとみられている。
Checkmarxはレジストリにリリースされたこれらのパッケージをインストールしたとしても、現在のところ影響はないと発表。埋め込まれたコードはスタンドアロンツールではなく、他のプログラム内からトリガーされるようになっており、インストール時に実行されることはないとしている。
今後、大規模キャンペーンの実行に今回のような自動化ツールが悪用されるケースが増えることが予想される。Checkmarxはオープンソースの開発者に対して常に大規模キャンペーンに警戒し、攻撃を受けていないことを確認するよう勧めている。