npmワーム、暗号資産鍵を盗み19パッケージを標的に

SANDWORM_MODEと呼ばれる自己複製型npmワームが19以上のパッケージに感染し、開発環境からプライベートキー、BIP39ニーモニック、ウォレットファイル、LLM APIキーを収集しています。

現在、npmサプライチェーン攻撃が開発環境を席巻しています。SocketのThreat Research Teamは、2つのパブリッシャーエイリアスに関連する少なくとも19の悪意のあるnpmパッケージに広がる自己複製型ワーム、SANDWORM_MODEを発見しました。SocketSecurityがXでフラグを立てたように、これは開発およびCIシークレットを盗み、GitHubワークフローを注入し、AIツールチェーンを汚染し、LLM APIキーを収集するアクティブなサプライチェーン攻撃です。

このキャンペーンは、Shai-Huludワームファミリーから直接借用されています。プライベートキーが最初に狙われます。タイムゲートもなく、遅延もありません。インポート時に発見された暗号資産アーティファクトは、他のペイロードステージが起動する前に、専用のドレインエンドポイントを通じて即座に流出されます。

知っておくべきこと:ウォレットセキュリティー脅威がエスカレートしています 必読: Trust Walletセキュリティーハック:資産を保護する方法

このワームがプライベートキーに最初に到達する方法

このワームは2段階設計で動作します。ステージ1はインポート時に即座に起動し、ファイル読み取りのみを通じてnpmトークン、GitHubトークン、環境シークレット、暗号キーを収集します。シェル実行もなく、ノイズもありません。BIP39ニーモニック、Ethereumプライベートキー、Solanaバイト配列、Bitcoin WIFキー、xprv文字列がすべて最初のパスで収集されます。

暗号キーは、pkg-metrics[.]official334[.]workers[.]dev/drainのCloudflare WorkerへのHTTPS POSTを介して即座にマシンから出ていきます。これはタイムゲートチェックの前に発生します。ステージ2がロードされる前にです。

ステージ2は、ホスト名とユーザー名のMD5ハッシュから導出された48時間の遅延の後ろに位置しています。さらに深く進みます:Bitwarden、1Password、LastPass CLIを介したパスワードマネージャー、Apple NotesやmacOS Messagesを含むローカルSQLiteストア、およびウォレットファイルの完全なファイルシステムスキャン。CI環境では、そのゲートは完全に消えます。GITHUB_ACTIONS、GITLAB_CI、CIRCLECI、JENKINS_URL、BUILDKITEで完全なペイロードが待機なしで起動します。

XのSocketSecurityによると、このワームはGitHubワークフローも注入し、AIツールチェーンを汚染しており、詳細はSocketの完全な技術開示で確認されています。

こちらも読む価値があります: 押収された2,100万ドルのBitcoinが当局の取引凍結後に返還される

AIコーディングツールも深刻な被害を受けた

3つのパッケージがClaude Codeになりすましています。1つは、GitHubで21万スターを超えたAIエージェントであるOpenClawをターゲットにしています。このワームのMcpInjectモジュールは、Claude Code、Claude Desktop、Cursor、VS Code Continue、Windsurfのディスク上の設定に不正なMCPサーバーを展開します。それぞれが隠された悪意のあるサーバーを指す偽のツールエントリを取得します。

そのサーバーには、AIアシスタントに、すべてのツール呼び出しの前にSSHキー、AWS認証情報、npmトークン、環境シークレットを密かに読み取るように指示する埋め込まれたプロンプトインジェクションが含まれています。モデルはユーザーに決して伝えません。インジェクションは明示的にそれをブロックします。

9つのLLMプロバイダーがAPIキー収集のターゲットになっています:OpenAI、Anthropic、Google、Groq、Together、Fireworks、Replicate、Mistral、Cohere。キーは環境変数と.envファイルから取得され、流出前に既知のフォーマットパターンに対して検証されます。

流出は3つのチャネルをカスケードで実行します。最初にCloudflare WorkerへのHTTPS、次にダブルbase64エンコーディングを使用したプライベートリポジトリへの認証されたGitHub APIアップロード、次にfreefan[.]netとfanfree[.]netへのbase32エンコードされたクエリを介したDNSトンネリング。「sw2025」でシードされたドメイン生成アルゴリズムは、すべてが失敗した場合に10のTLDにわたってフォールバックを提供します。

一見の価値あり: GlassnodeがBTC需要枯渇を警告

キャンペーンの背後にある2つのパブリッシャーエイリアスは、official334とjavaorgです。確認された19の悪意のあるパッケージには、suport-color@1.0.1、claud-code@0.2.1、cloude@0.3.0、crypto-locale@1.0.0、secp256@1.0.0、scan-store@1.0.0などが含まれます。4つの追加のスリーパーパッケージ(ethres、iru-caches、iruchache、uudi)は、まだ悪意のあるペイロードを示していません。

npmは悪意のあるパッケージを削除しました。GitHubは脅威アクターのインフラストラクチャを削除しました。Cloudflareはワーカーを削除しました。しかし、防御者は今すぐ行動する必要があります。

これらのパッケージのいずれかが環境で実行された場合、そのマシンを侵害されたものとして扱ってください。npmとGitHubトークンをローテーションし、すべてのCIシークレットをローテーションし、.github/workflows/を監査して、${{ toJSON(secrets) }}をシリアライズするpull_request_targetの追加を確認してください。git config –global init.templateDirを実行して、グローバルgitフックテンプレート設定を確認してください。予期しないmcpServersエントリについてAIアシスタント設定を確認してください。deepseek-coder:6.7bを使用する休眠ポリモーフィックエンジンがワームに埋め込まれており、このビルドではオフに切り替えられています。つまり、将来のバリアントは検出を回避するために自己書き換えを行う可能性があります。

コードにはデッドスイッチも配置されています。現在は無効化されています。トリガーされると、find ~ -type f -writableを実行し、ホームディレクトリ内のすべての書き込み可能なファイルを破壊します。オペレーターはまだ反復を続けています。

この投稿「npmワームが暗号キーを盗み、19のパッケージをターゲットに」は、Live Bitcoin Newsに最初に掲載されました。