C
月内に
北朝鮮に関連すると見られる攻撃者が、Rollupのポリフィルツールを装った悪意のあるnpmパッケージを配布しています
📌 一言でいうと
北朝鮮に関連すると見られる攻撃者が、Rollupのポリフィルツールを装った悪意のあるnpmパッケージを配布しています。これらのパッケージは、正当なプロジェクトに似せた名称やメタデータを使用しており、開発者の機密情報の窃取やリモートアクセスを目的としています。JFrogの分析により、複数のパッケージが相互に依存して動作し、最終的にマルウェアをロードする仕組みが明らかになりました。
🔍該当判定
- JavaScriptの開発で 'npm' というパッケージ管理ツールを利用している
- プロジェクトの依存関係(package.json)に 'rollup-packages-polyfill-core' または 'rollup-runtime-polyfill-core' が含まれている
- 最近 'react-icon-svgs' や 'swift-parse-stream' というライブラリをインストールした
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 依存関係のレビューを行い、不審なパッケージ(特に今回報告された名称のもの)が含まれていないか確認すること。2. パッケージのインストール時に、公式リポジトリのメタデータや作者を慎重に確認すること。3. 開発環境におけるシークレット管理を徹底し、環境変数の漏洩対策を講じること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】北朝鮮系アクターによる悪意のあるnpmパッケージへの対応について
お疲れさまです。北朝鮮に関連する脅威アクターによるサプライチェーン攻撃に関する情報共有です。
■ 概要
正当なRollupポリフィルツールを装った悪意のあるnpmパッケージが配布されています。これらは開発者の機密情報を窃取し、リモートアクセスを確立することを目的としています。
■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- 特に以下のパッケージを導入したプロジェクト:
- rollup-packages-polyfill-core
- rollup-runtime-polyfill-core
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream
■ 対応手順
1. プロジェクトの package.json および lock ファイルを確認し、上記パッケージが含まれていないかスキャンしてください。
2. 検出された場合は、直ちにパッケージを削除し、漏洩した可能性があるAPIキーや認証情報をローテートしてください。
3. 開発チームに対し、不審なタイポスクワッティングパッケージへの注意喚起を行ってください。
■ 参考情報
- JFrog Technical Write-up
対応優先度: 高
対応期限: 本日中
お疲れさまです。北朝鮮に関連する脅威アクターによるサプライチェーン攻撃に関する情報共有です。
■ 概要
正当なRollupポリフィルツールを装った悪意のあるnpmパッケージが配布されています。これらは開発者の機密情報を窃取し、リモートアクセスを確立することを目的としています。
■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- 特に以下のパッケージを導入したプロジェクト:
- rollup-packages-polyfill-core
- rollup-runtime-polyfill-core
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream
■ 対応手順
1. プロジェクトの package.json および lock ファイルを確認し、上記パッケージが含まれていないかスキャンしてください。
2. 検出された場合は、直ちにパッケージを削除し、漏洩した可能性があるAPIキーや認証情報をローテートしてください。
3. 開発チームに対し、不審なタイポスクワッティングパッケージへの注意喚起を行ってください。
■ 参考情報
- JFrog Technical Write-up
対応優先度: 高
対応期限: 本日中
Subject: [Alert] Malicious npm Packages Linked to North Korean Actors
Dear IT/Security Team,
We are sharing information regarding a supply chain attack involving malicious npm packages linked to North Korean threat actors.
■ Overview
Malicious packages masquerading as Rollup polyfill tooling have been identified. These packages are designed to steal developer secrets and establish remote access to compromised environments.
■ Scope
- Development environments utilizing npm packages.
- Specifically, projects that have installed:
- rollup-packages-polyfill-core
- rollup-runtime-polyfill-core
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream
■ Action Plan
1. Audit package.json and lock files across all projects to identify the presence of the listed malicious packages.
2. If found, immediately remove the packages and rotate any potentially compromised API keys or credentials.
3. Educate development teams on the risks of typosquatting and the importance of verifying package metadata.
■ Reference
- JFrog Technical Write-up
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack involving malicious npm packages linked to North Korean threat actors.
■ Overview
Malicious packages masquerading as Rollup polyfill tooling have been identified. These packages are designed to steal developer secrets and establish remote access to compromised environments.
■ Scope
- Development environments utilizing npm packages.
- Specifically, projects that have installed:
- rollup-packages-polyfill-core
- rollup-runtime-polyfill-core
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream
■ Action Plan
1. Audit package.json and lock files across all projects to identify the presence of the listed malicious packages.
2. If found, immediately remove the packages and rotate any potentially compromised API keys or credentials.
3. Educate development teams on the risks of typosquatting and the importance of verifying package metadata.
■ Reference
- JFrog Technical Write-up
Priority: High
Deadline: Immediate