B
今週中
npmおよびGoのパッケージを悪用したサプライチェーン攻撃
📌 一言でいうと
npmおよびGoのパッケージを悪用したサプライチェーン攻撃が確認されました。攻撃者はVS Codeのタスク機能を悪用して、プロジェクトフォルダを開いた際に自動的にPythonベースの情報窃取ツール(インフォスティーラー)を配備します。悪意のあるコードはブロックチェーンのトランザクションデータから暗号化されたJavaScriptを取得し、バックドアを構築します。
🔍該当判定
- 開発環境で『VS Code (Visual Studio Code)』を利用している
- npm(JavaScript/TypeScript)またはGo言語を用いて開発を行っている
- npmパッケージの『html-to-gutenberg』または『fetch-page-assets』をインストールしたことがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 侵害されたパッケージ(html-to-gutenberg, fetch-page-assets)が依存関係に含まれていないか確認し、削除すること。 2. VS Codeの信頼されていないフォルダの自動実行設定を確認し、不審なタスクが設定されていないか点検すること。 3. パッケージマネージャーのセキュリティ設定を強化し、信頼できないソースからのインストールを制限すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npm/Go パッケージを悪用したサプライチェーン攻撃への対応について
お疲れさまです。npmおよびGoパッケージを介したマルウェア配布に関する情報共有です。
■ 概要
悪意のあるnpmパッケージ(html-to-gutenberg, fetch-page-assets)およびGoパッケージが、VS Codeのタスク機能を悪用してPython製インフォスティーラーを配備する攻撃が観測されました。ブロックチェーン上のデータからペイロードを取得し、バックドアを構築する巧妙な手法が用いられています。
■ 影響範囲
- 対象製品: npm, Go パッケージ, Visual Studio Code
- 影響を受けるパッケージ: html-to-gutenberg, fetch-page-assets
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、上記パッケージが利用されていないか依存関係をスキャンしてください。
2. 不審なVS Codeタスク(.vscode/tasks.json)が自動生成されていないか確認してください。
3. ネットワークログにおいて、不審なsocket.io通信やブロックチェーンノードへの異常なアクセスがないか確認してください。
■ 参考情報
- JFrog Technical Analysis
対応優先度: 高
対応期限: 本日中
お疲れさまです。npmおよびGoパッケージを介したマルウェア配布に関する情報共有です。
■ 概要
悪意のあるnpmパッケージ(html-to-gutenberg, fetch-page-assets)およびGoパッケージが、VS Codeのタスク機能を悪用してPython製インフォスティーラーを配備する攻撃が観測されました。ブロックチェーン上のデータからペイロードを取得し、バックドアを構築する巧妙な手法が用いられています。
■ 影響範囲
- 対象製品: npm, Go パッケージ, Visual Studio Code
- 影響を受けるパッケージ: html-to-gutenberg, fetch-page-assets
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、上記パッケージが利用されていないか依存関係をスキャンしてください。
2. 不審なVS Codeタスク(.vscode/tasks.json)が自動生成されていないか確認してください。
3. ネットワークログにおいて、不審なsocket.io通信やブロックチェーンノードへの異常なアクセスがないか確認してください。
■ 参考情報
- JFrog Technical Analysis
対応優先度: 高
対応期限: 本日中
Subject: [Alert] Supply Chain Attack via Hijacked npm and Go Packages
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting npm and Go packages.
■ Overview
Attackers have hijacked npm packages (html-to-gutenberg, fetch-page-assets) and Go packages to deploy a Python-based information stealer. The attack is triggered via VS Code tasks when a project folder is opened, retrieving encrypted payloads from blockchain transaction data to establish a socket.io backdoor.
■ Scope
- Affected Products: npm, Go packages, Visual Studio Code
- Identified Packages: html-to-gutenberg, fetch-page-assets
■ Action Plan
1. Scan project dependencies for the identified malicious packages and remove them immediately.
2. Audit .vscode/tasks.json files for unauthorized or suspicious task configurations.
3. Monitor network traffic for unusual socket.io connections or unexpected requests to blockchain infrastructure.
■ Reference
- JFrog Technical Analysis
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting npm and Go packages.
■ Overview
Attackers have hijacked npm packages (html-to-gutenberg, fetch-page-assets) and Go packages to deploy a Python-based information stealer. The attack is triggered via VS Code tasks when a project folder is opened, retrieving encrypted payloads from blockchain transaction data to establish a socket.io backdoor.
■ Scope
- Affected Products: npm, Go packages, Visual Studio Code
- Identified Packages: html-to-gutenberg, fetch-page-assets
■ Action Plan
1. Scan project dependencies for the identified malicious packages and remove them immediately.
2. Audit .vscode/tasks.json files for unauthorized or suspicious task configurations.
3. Monitor network traffic for unusual socket.io connections or unexpected requests to blockchain infrastructure.
■ Reference
- JFrog Technical Analysis
Priority: High
Deadline: Immediate