B
今週中
Windows向けリモートアクセスツール(RAT)を配布する悪意のあるnpmパッケージ
📌 一言でいうと
Windows向けリモートアクセスツール(RAT)を配布する悪意のあるnpmパッケージが発見されました。これらのパッケージはPostCSSツールを装っており、正当なライブラリである「postcss-selector-parser」に似せた名前を使用して開発者を欺きます。インストールされると、最終的にWindows環境にマルウェアを配備する攻撃チェーンが作動します。
🔍該当判定
- 社内でJavaScriptの開発を行っており、npm(パッケージ管理ツール)を利用している
- 開発環境で 'postcss-minify-selector' または 'postcss-minify-selector-parser' をインストールした
- 開発環境で 'aes-decode-runner-pro' をインストールした
- Windows OSを搭載したPCで、上記npmパッケージを含むプロジェクトをビルド・実行した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 開発環境で上記に挙げられたパッケージがインストールされていないか確認し、発見した場合は直ちに削除すること。2. パッケージ導入時に、公式ドキュメントやダウンロード数、作者の信頼性を十分に確認すること。3. 依存関係のロックファイル(package-lock.json等)を適切に管理し、意図しない更新を防止すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】悪意のあるnpmパッケージ(PostCSS偽装)への対応について
お疲れさまです。npmにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
PostCSSツールを装い、Windows向けRAT(リモートアクセスツール)を配布する悪意のあるnpmパッケージが公開されました。正当なライブラリに似せた名称を用いており、開発者が誤ってインストールすることでマルウェアに感染するリスクがあります。
■ 影響範囲
- 対象パッケージ:
- aes-decode-runner-pro
- postcss-minify-selector
- postcss-minify-selector-parser
- 影響を受ける環境: Windows OS上の開発環境
■ 対応手順
1. 開発プロジェクトの package.json および lock ファイルを確認し、上記パッケージが含まれていないかスキャンしてください。
2. 検出された場合は、直ちにパッケージを削除し、当該端末の不審な通信やプロセスの有無を確認してください。
3. 開発チームに対し、信頼できないパッケージの導入禁止と、パッケージ名の再確認を徹底させてください。
■ 参考情報
- JFrog Analysis
対応優先度: 高
対応期限: 本日中
お疲れさまです。npmにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
PostCSSツールを装い、Windows向けRAT(リモートアクセスツール)を配布する悪意のあるnpmパッケージが公開されました。正当なライブラリに似せた名称を用いており、開発者が誤ってインストールすることでマルウェアに感染するリスクがあります。
■ 影響範囲
- 対象パッケージ:
- aes-decode-runner-pro
- postcss-minify-selector
- postcss-minify-selector-parser
- 影響を受ける環境: Windows OS上の開発環境
■ 対応手順
1. 開発プロジェクトの package.json および lock ファイルを確認し、上記パッケージが含まれていないかスキャンしてください。
2. 検出された場合は、直ちにパッケージを削除し、当該端末の不審な通信やプロセスの有無を確認してください。
3. 開発チームに対し、信頼できないパッケージの導入禁止と、パッケージ名の再確認を徹底させてください。
■ 参考情報
- JFrog Analysis
対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Malicious npm Packages Posing as PostCSS Tools
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the npm ecosystem.
■ Overview
Several malicious npm packages have been identified that mimic PostCSS tools to deliver a Windows-based Remote Access Trojan (RAT). These packages use deceptive naming to trick developers into installing them, leading to malware deployment on Windows systems.
■ Scope
- Affected Packages:
- aes-decode-runner-pro
- postcss-minify-selector
- postcss-minify-selector-parser
- Target Environment: Windows-based development environments
■ Action Plan
1. Scan project dependencies (package.json and lock files) for the presence of the listed malicious packages.
2. If found, immediately remove the packages and perform a forensic check for unauthorized processes or network connections on the affected machine.
3. Remind development teams to verify package authenticity and avoid installing unverified libraries.
■ Reference
- JFrog Analysis
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the npm ecosystem.
■ Overview
Several malicious npm packages have been identified that mimic PostCSS tools to deliver a Windows-based Remote Access Trojan (RAT). These packages use deceptive naming to trick developers into installing them, leading to malware deployment on Windows systems.
■ Scope
- Affected Packages:
- aes-decode-runner-pro
- postcss-minify-selector
- postcss-minify-selector-parser
- Target Environment: Windows-based development environments
■ Action Plan
1. Scan project dependencies (package.json and lock files) for the presence of the listed malicious packages.
2. If found, immediately remove the packages and perform a forensic check for unauthorized processes or network connections on the affected machine.
3. Remind development teams to verify package authenticity and avoid installing unverified libraries.
■ Reference
- JFrog Analysis
Priority: High
Deadline: Immediate