npm Wormが暗号鍵を盗む、19のパッケージを標的に

自己複製型のnpmワーム「SANDWORM_MODE」が19以上のパッケージに感染し、開発環境から秘密鍵、BIP39のニーモニック、ウォレットファイル、LLM APIキーを収集しています。

現在、実際のnpmサプライチェーン攻撃が開発者環境を襲っています。Socketの脅威調査チームは、少なくとも19の悪意のあるnpmパッケージに拡散している自己複製ワーム「SANDWORM_MODE」を特定しました。これらは2つのパブリッシャーエイリアスに関連付けられています。SocketSecurityがXで指摘した通り、これは開発やCIの秘密情報を盗み、GitHubのワークフローに注入し、AIツールチェーンを汚染し、LLM APIキーを収集するアクティブなサプライチェーン攻撃です。

このキャンペーンはシャイ・フルード（Shai-Hulud）ワームファミリーから直接借用しています。最初に狙われるのは秘密鍵です。時間制限や遅延はありません。インポート時に検出された暗号資産は、他のペイロード段階が発火する前に専用の排出エンドポイントを通じて即座に外部に送信されます。

知っておくべきこと：ウォレットのセキュリティ脅威が高まっています 必読： Trust Walletのセキュリティハッキング：資産を守る方法

このワームが最初にあなたの秘密鍵に到達する仕組み

このワームは2段階の設計になっています。ステージ1はインポート時に即座に発火し、npmトークン、GitHubトークン、環境秘密情報、暗号鍵をファイル読み取りだけで収集します。シェルの実行やノイズはありません。BIP39ニーモニック、Ethereumの秘密鍵、Solanaのバイト配列、BitcoinのWIFキー、xprv文字列などが最初の段階で一掃されます。

暗号鍵はHTTPS POSTを使い、Cloudflare Worker（pkg-metrics[.]official334[.]workers[.]dev/drain）に即座に送信されます。これは時間制限のチェック前に行われ、ステージ2がロードされる前です。

ステージ2はホスト名とユーザー名のMD5ハッシュから導き出された48時間の遅延の背後にあります。さらに深く掘り下げ、Bitwarden、1Password、LastPass CLIを通じたパスワードマネージャー、ローカルのSQLiteストア（Apple NotesやmacOS Messagesを含む）、ウォレットファイルのフルファイルシステムスキャンを行います。CI環境ではこのゲートは完全に消え、GITHUB_ACTIONS、GITLAB_CI、CIRCLECI、JENKINS_URL、BUILDKITEで待たずにペイロードが発火します。

XのSocketSecurityによると、ワームはGitHubワークフローに注入し、AIツールチェーンを汚染します。詳細はSocketの完全な技術公開で確認できます。

その他読む価値のある情報: $2100万のビットコイン押収後に返還

AIコーディングツールも深刻な被害を受けました

3つのパッケージはClaude Codeを偽装しています。1つはGitHubで210,000スターを超えたAIエージェントOpenClawをターゲットにしています。ワームのMcpInjectモジュールは、Claude Code、Claude Desktop、Cursor、VS Code Continue、Windsurfの設定に悪意のあるMCPサーバーを展開します。各設定には、隠された悪意のあるサーバーを指す偽のツールエントリが追加されます。

そのサーバーには埋め込みのプロンプトインジェクションがあり、AIアシスタントに対してSSHキー、AWS資格情報、npmトークン、環境秘密情報を静かに読み取るよう指示します。モデルはユーザーに通知しません。インジェクションはこれを明示的にブロックしています。

APIキーの収集対象はOpenAI、Anthropic、Google、Groq、Together、Fireworks、Replcate、Mistral、Cohereの9つのLLMプロバイダーです。環境変数や.envファイルからキーを抽出し、既知のフォーマットパターンと照合して外部に送信します。

外部送信は3つのチャネルで連鎖的に行われます。最初にHTTPSでCloudflare Workerへ、次に認証済みGitHub APIを使ったプライベートリポジトリへのアップロード（ダブルBase64エンコード）、最後にbase32エンコードされたクエリを使ったDNSトンネリング（freefan[.]netとfanfree[.]netへ）。「sw2025」というシードを持つドメイン生成アルゴリズムが、すべて失敗した場合のバックアップとして10のTLDに対応します。

注目すべき点: GlassnodeがBTC需要の枯渇を警告

このキャンペーンの背後にいる2つのパブリッシャーエイリアスはofficial334とjavaorgです。確認された19の悪意のあるパッケージには、suport-color@1.0.1、claud-code@0.2.1、cloude@0.3.0、crypto-locale@1.0.0、secp256@1.0.0、scan-store@1.0.0などがあります。さらに4つのスリーパーパッケージ（ethres、iru-caches、iruchache、uudi）は、まだ悪意のあるペイロードを持っていません。

npmはこれらの悪意のあるパッケージを削除し、GitHubは攻撃者のインフラを停止、Cloudflareはワーカーを撤回しました。しかし、対策は今すぐに取る必要があります。

これらのパッケージがあなたの環境で動作していた場合、そのマシンは侵害されたとみなしてください。npmとGitHubのトークンをローテーションし、すべてのCI秘密情報を更新し、.github/workflows内のpull_request_targetの追加を監査してください。git config –global init.templateDirコマンドでグローバルなgitフックテンプレート設定を確認し、AIアシスタントの設定に予期しないmcpServersエントリがないか確認してください。このワームにはdeepseek-coder:6.7bを用いたポリモーフィックエンジンが埋め込まれており、現バージョンでは無効化されていますが、将来的には自己書き換えによる回避も可能です。

また、コード内には死活スイッチも存在します。現在は無効化されていますが、トリガーされるとホームディレクトリ内の書き込み可能なすべてのファイルを削除します。運用者は引き続き調整中です。