悪意のあるnpmパッケージに要注意 目的は“システムの破壊”：セキュリティニュースアラート

Socketは2つのnpmパッケージにシステムの破壊を狙うバックドアが仕込まれていたことを発表した。攻撃の目的は金銭的利益ではなく破壊活動や競争上の妨害、国家レベルのかく乱などとみられる。

[後藤大地，有限会社オングス]

　Socketは2025年6月6日（現地時間）、2つのnpmパッケージに深刻なバックドアが仕込まれていたことを発表した。これらのパッケージは正当なユーティリティーに見せかけているが、実際にはリモートからシステムの全ファイルを削除できる機能を備えていたことが判明している。

システムの破壊を狙うバックドアが仕込まれたnpmパッケージに注意

　悪意のあるnpmパッケージは次の2つだ。どちらも「botsailer」（登録メールアドレスはanupm019@gmail[.]com）と呼ばれるユーザーによって公開されていた。

• express-api-sync
• system-health-sync-api

　express-api-syncは2つのデータベース間でデータを同期すると説明されていたが、実際にはそのような機能は一切含まれていないことが確認されている。このパッケージをExpressアプリケーションに組み込むと、最初のHTTPリクエスト時に隠されたバックドアが動作する。特定のエンドポイントに対し、ハードコードされた秘密キー「DEFAULT_123」を含むPOSTリクエストを送ることで、アプリケーションが実行されているカレントディレクトリ以下の全ファイルを削除するコマンドが実行される仕組みとなっている。

　system-health-sync-apiは、より高度な手口を使っていたことが明らかにされている。このパッケージには健康チェックやフレームワークの自動検出などの一見正当な機能が含まれており、ExpressやFastify、純粋なHTTPサーバにも対応していた。しかし、実際にはサーバの環境情報を収集し、破壊的なコマンドを実行する能力を備えていたという。OSを自動判別し、「UNIX」環境では「rm -rf *」を、「Windows」環境では「rd /s /q .」を実行して全ファイルを削除する。さらに攻撃前後の情報は、SMTP経由で攻撃者のメールアドレスに送信されるようになっていた。SMTPの認証情報はコード内にハードコードされており、Base64で簡易に隠されていた。

　これらのパッケージはnpmにとって新たな脅威であり、通常の攻撃が暗号資産や認証情報の窃取を目的とするのに対し、今回はシステムそのものの破壊を優先している点が懸念される。今回確認された攻撃では、単純なバックドアから多層的な破壊工作へと手法が進化しており、攻撃者が技術を洗練させている様子が見て取れる。

　攻撃の目的は金銭的利益ではなく破壊活動・競争上の妨害・国家レベルのかく乱などと見られ、攻撃者が企業インフラ全体を把握した上で攻撃を仕掛けた可能性がある。さらに、複数サーバを同時に狙う可能性もある。

　特にExpressなどのミドルウェアは、アプリケーション全体の権限でリクエストを処理するため格好の標的とされやすい。今後はフレームワーク固有のエコシステム（Express、Fastify、Koa）や、実行時に他のパッケージを変更する仕組み、さらにはセキュリティツールと称しながら脆弱性を持ち込むツールなどが、攻撃対象として狙われると予想される。