ReversingLabsは9月22日(米国時間)、「Threat analysis: Malicious npm package mimics Material Tailwind CSS tool」において、開発者の間で非常に人気があるソフトウェアライブラリを装った悪質なnpmパッケージを発見したと伝えた。このnpmパッケージは有用な開発ツールを装いつつもインストール後に自動で実行されるスクリプトが含まれており、悪意のある実行ファイルを含むzipファイルをダウンロードすることが確認されている。

Threat analysis: Malicious npm package mimics Material Tailwind CSS tool

見つかった悪意のあるnpmパッケージはmaterial-tailwindcssと名付けられており、Tailwind CSSおよびMaterial Designのための使いやすいコンポーネントライブラリであると宣伝されている。しかしながら、実際にはリモートサーバから悪意のあるWindows実行ファイルを含むzipファイルを取得する難読化されたJavaScriptが含まれていることが明らかとなった。

このJavaScriptは「DiagnosticsHub.exe」と名付けられたペイロードを含むzipファイル「DiagnosticsLogger.zip」をダウンロードする仕組みになっており、DiagnosticsHub.exeにはコマンド&コントロール(C2: Command and Control) サーバとの通信やプロセス操作などを担当するいくつかのPowerShellのコードスニッペが含まれているという。

ReversingLabsは、開発者をだますために正規のパッケージを装う悪質なnpmパッケージが増加傾向にあると警告している。ソフトウェアサプライチェーン攻撃はほぼ毎日確認されており、攻撃の多くはごく単純なJavaScriptのコードで難読化すらされていないものもあるという。今回のようなケースは、手口が複雑であることから背後に洗練された脅威アクターが存在する可能性があると結論付けられており、注意するよう呼びかけている。