Phylumは8月3日(米国時間)、「Targeted npm Malware Attempts to Steal Company Source Code and Secrets」において、標的型npmマルウェアが企業のソースコードと秘密の窃取を試みているとして、注意を呼び掛けた。
Phylumは2023年7月31日、Phylumの自動リスク検出プラットフォームがノードパッケージマネージャー(npm: Node Package Manager)上でこれまでと異なる一般的ではないパッケージを検出し、数時間のうちに10のテストパッケージが公開されるのを確認したという。このテストパッケージは情報の窃取を目的とした開発が行われていたとみられ、Phylumはこの開発の進捗に伴って増えるテストパッケージを観察、分析している。Phylumによるとこれらテストパッケージは最終的にすべて削除され、リリース用のパッケージが公開されたとしている。
この悪意のあるパッケージは、ノードパッケージマネージャーユーザの「malikrukd4732」によって公開された。このパッケージのインストールを行うと、バックグラウンドで悪意のあるスクリプトが実行され、特定のデータの探索と圧縮保存がおこなわれFTPで外部に送信し窃取する。すべてのファイルではなく一部のファイルのみを標的としており、その種類やディレクトリなどからネットワークサービス用の開発データや、認証情報などが主なターゲットとみられる。
Phylumはこのパッケージの標的となった開発者は、暗号資産関連の開発者ではないかと分析しているが、推測の域を出ておらず、詳細は不明。
Node.jsによるサーバサイドアプリケーションの開発において、ノードパッケージマネージャーによる外部パッケージのインストールを行うことは一般的であり、ほどんどのNode.jsの開発者は扱ったことがあるものとみられる。開発者にとって、パッケージをインストールするだけで情報を盗むこのような悪意のあるパッケージの存在はまさに脅威。
開発者はこのリスクを回避するために、信頼のおける開発者のパッケージ以外は導入しないように注意することが望まれる。