SOC Prime Bias: 重大

12 Jun 2026 18:47 UTC

Solana FakeFix: 安定版に偽装する25の悪意あるnpmおよびPyPIパッケージ

Author Photo
SOC Prime Team linkedin icon フォローする
Solana FakeFix: 安定版に偽装する25の悪意あるnpmおよびPyPIパッケージ
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

悪意のあるパッケージキャンペーンがSolana開発者を対象に、安定ビルドの修正として偽装されたtyposquattingされたnpmおよびPyPIライブラリを介して攻撃しています。マルウェアはパッケージライフサイクルの実行とインポート時のフックを悪用し、感染環境からウォレットの秘密情報、クラウドの認証情報、SSHキーを盗みます。一部のサンプルは、Telegramベースのコマンド・アンド・コントロールを通して完全なバックドアとして動作したり、Denoを基にしたWindowsに特化したローダーを配信することで盗難を超えて広がります。

調査

JFrog Securityの研究者たちは、2つの別々で関連性のある操作を発見しました。最初のものはSolana FakeFixと追跡され、偽のSDKスタイルのパッケージを使用して開発者やビルドシステムから機密情報を収集していました。2つ目は、CMSをテーマとしたnpmパッケージを使用してWindows実行ファイルをロードします。分析の結果、悪意のあるコードはしばしば、正当な形に見えるライブラリに追加されていることがわかり、パッケージが合法的に見えるダイナミックに2番目のステージのペイロードを取得するのに役立っていました。

緩和策

組織は、開発者のワークステーション、CI/CDパイプライン、および内部パッケージキャッシュからすべての影響を受けたパッケージを削除するべきです。Solanaウォレットキー、SSHキー、AWS認証情報、GitHubトークンを含む、露出する可能性のある認証情報は直ちに回転させるべきです。セキュリティチームは、レジストリ・ランキーやスケジュールされたタスク、シェルプロファイルの変更などの持続的手法についてホストを監査するべきです。

対応

防御者は特定された悪意のあるパッケージをアンインストールし、依存関係のロックファイルをレビューして、未承認または予期しないライブラリを確認するべきです。露出したすべての秘密は一度に回転させるべきで、潜在的に危険にさらされたウォレットに保管されている暗号通貨は新しい信頼できるアドレスに転送されるべきです。CIランナーと開発システムは、その後、隠れたバックドアや持続的なメカニズムが残っていないことを保証するためにクリーンなイメージから再構築されるべきです。

攻撃の流れ

検出

持続性の可能性のあるポイント [ASEPs – ソフトウェア/NTUSER ハイブ] (registry_event 経由)

SOC Primeチーム
2026年6月12日

LOLBAS Conhost (cmdline 経由)

SOC Primeチーム
2026年6月12日

コマンドとコントロールチャネルとしてのTelegram悪用の可能性 (dns_query 経由)

SOC Primeチーム
2026年6月12日

おそらく通常でないポートを持つ直接IPへのC2通信の可能性 (プロキシ経由)

SOC Primeチーム
2026年6月12日

検出するためのIOCs (SourceIP): Solana FakeFix: 25の悪意のあるnpmおよびPyPIパッケージが偽の安定ビルドで開発者を誘引

SOC Prime AIルール
2026年6月12日

検出するためのIOCs (DestinationIP): Solana FakeFix: 25の悪意のあるnpmおよびPyPIパッケージが偽の安定ビルドで開発者を誘引

SOC Prime AIルール
2026年6月12日

遠隔ダイナミックペイロードとTelegram C2を含む悪意のあるパッケージ活動の検出 [Windowsネットワーク接続]

SOC Prime AIルール
2026年6月12日

悪意のあるスクリプト実行のためにヘッドレスモードでのconhost.exeの実行 [Windowsプロセス作成]

SOC Prime AIルール
2026年6月12日

CMS Windowsローダーのレジストリランキー持続性の検出 [Windowsレジストリイベント]

SOC Prime AIルール
2026年6月12日

PowerShellプロファイルフックの持続性と隠れたPowerShell実行の検出 [Windows PowerShell]

SOC Prime AIルール
2026年6月12日

シミュレーション実行

前提条件: テレメトリー & ベースラインプレフライトチェックが通過していること。

理由: 本セクションは、攻撃者の技術(TTP)によってトリガーされる検出ルールの正確な実行を詳細に説明しています。コマンドと叙述は、特定されたTTPを直接反映し、検出ロジックで予想される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。

  • 攻撃の叙述とコマンド: 攻撃者は最初のアクセスを取得し、ホールドを維持することを意図しています。彼らはDenoベースのペイロードを使用することを決定します。ターミナルの実行を隠すために、彼らは --headless フラグを conhost.exeに使用します。彼らは HKCUSoftwareMicrosoftWindowsCurrentVersionRun レジストリキーを修正し、 DenoUpdater という名前の値を追加し、 conhost.exe --headless deno.exe [malicious_script]を実行します。これにより、ユーザーログイン時にバックグラウンドで静かにペイロードが実行されるようになります。

  • 回帰テストスクリプト:

    # レジストリランキーを通じたDenoベースの持続性のシミュレーション
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    $Value = "C:WindowsSystem32conhost.exe --headless C:UsersPublicdeno.exe malicious_payload.js"
    
    Write-Host "[*] 持続性メカニズムをシミュレート中..."
    New-ItemProperty -Path $RegistryPath -Name $Name -Value $Value -PropertyType String -Force
    Write-Host "[+] レジストリキーが作成されました。SIEMでアラートを確認してください。"
  • クリーンアップコマンド:

    # シミュレートされた持続性のクリーンアップ
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    
    if (Get-ItemProperty -Path $RegistryPath -Name $Name -ErrorAction SilentlyContinue) {
        Remove-ItemProperty -Path $RegistryPath -Name $Name -Force
        Write-Host "[+] クリーンアップが完了しました。レジストリキーが削除されました。"
    } else {
        Write-Host "[-] クリーンアップ失敗:レジストリキーが見つかりません。"
    }