Phylumはこのほど、「Trojanized Ethers Forks on npm Attempting to Steal Ethereum Private Keys|Phylum」において、ノードパッケージマネージャー(npm: Node Package Manager)から複数の悪意のあるパッケージを発見したと伝えた。いずれもEthereumライブラリーを装い、Ethereumの秘密鍵を窃取してバックドアを設置するとみられる。

  • Trojanized Ethers Forks on npm Attempting to Steal Ethereum Private Keys|Phylum

    Trojanized Ethers Forks on npm Attempting to Steal Ethereum Private Keys|Phylum

悪意のあるパッケージ

Phylumにより発見された悪意のあるnpmパッケージの一覧は次のとおり。

  • ethers-mew
  • ethers-web3
  • ethers-6
  • ethers-eth
  • ethers-aaa
  • ethers-audit
  • ethers-test

これらのうち「ethers-mew」が最新かつ完全版のパッケージとされ、他はテスト目的で公開されたパッケージと推測されている。いずれも短期間の公開後に作者自身により削除されており、目的は明らかになっていない。

  • ethers-mewの作者情報 - 引用:Phylum

    ethers-mewの作者情報 引用:Phylum

機能

これらパッケージは「ethers - npm」のコピーとされる。使用方法も同じだが、インスタンスの生成時にEthereumの秘密鍵を攻撃者のサーバー「ether-sign[.]com」に送信する機能を持つ。

完全版と推測される「ethers-mew」には追加機能として、「/root/.ssh/authorized_keys」に攻撃者の公開鍵を追加する機能が含まれている。被害者が特定の関数を使用するとauthorized_keysに公開鍵が書き込まれ、攻撃者の侵入を許すことになる。

今回発見された悪意のあるパッケージは、インストールしただけでは侵害される恐れはない。開発者がアプリケーションを実装し、利用した段階で情報を窃取される。パッケージはすでに削除されており影響は限定的と考えられているが、npmパッケージを利用する開発者には同様の攻撃に注意することが望まれている。