本文の内容は、2025年10月6日に Crystal Morin が投稿したブログ(https://www.sysdig.com/blog/sysdig-security-briefing-october-2025/ )を元に日本語に翻訳・再構成した内容となっております。
セキュリティが拡散中
先月、NPMエコシステムは数百ものNPMパッケージが侵害されるという大騒ぎとなりました。月の前半を過ぎると、あらゆるセキュリティリサーチャーがNPMエコシステムの問題点を探し回り、次の話題を呼ぼうと躍起になっていました。
9月8日~9日: NPMのChalk、Debug、Duckパッケージが侵害される
- 合計で毎週 20 億回ダウンロードされる 20 以上の NPM パッケージに悪意のあるコードが含まれていました。
- 最も人気のあるパッケージには、chalk、debug、duck が含まれていました。
- 根本的な原因は、メンテナーに対するスピアフィッシング攻撃が成功したことです。
- 攻撃者の動機は金銭的なもので、暗号通貨の支払いを見つけてリダイレクトすることでした。
- NPM は侵害されたパッケージ バージョンをすぐに削除しましたが、ユーザーはパッケージを更新するか、古い安全なバージョンに戻す必要がありました。
- Sysdig の対応:顧客は、Threat Intelligence ダッシュボードで脆弱なパッケージの識別に即日アクセスでき、9 月 12 日に脅威速報を受け取りました。
9月15日:Shai-Hulud worm
- @ctrl/tinycolorを含む約 200 個のパッケージが侵害されました。
- この攻撃は、8月下旬にNxパッケージを侵害した攻撃者によるものと考えられています。
- 今回、攻撃者は高度なワームを使用して侵害されたパッケージからシークレットを盗み、それを GitHub で公開し、被害者のリポジトリを公開しようとしました。
- Sysdig の対応:お客様は、Threat Intelligence ダッシュボードを通じてその日のうちにその影響を確認することができ、9 月 16 日に脅威速報を受け取り、Sysdig TRT はオープンソースの Falco ルールを含むブログを公開しました。
9月22日:Fezbox
- 悪意のあるパッケージがSocket Threat Research Team によって報告されました。
- ブラウザの Web クッキーからユーザー名とパスワードを盗むように設計されています。
- また、QR コードに悪意のあるコードを埋め込みます。
- 人気がある=安全だと思い込まないでください。最も信頼されているパッケージであっても、侵害される可能性があります。
- 対処法: 環境内でパッケージdist.fezbox.cjsをスキャンし、見つかった場合は封じ込めて削除し、認証情報の流出の試みについてログを確認して監視します。
今月のセキュリティレッスン
サプライチェーンは常に攻撃者にとって格好の標的です。依存関係を監査し、不要なもの(ブロート)を削減し、ビルド、CI/CD、ランタイム環境における異常な動作を常に監視し、アラートを発するようにしてください。
Sysdig脅威リサーチチームの新たな発見
9月9日: ZynorRAT
- 高度なマルウェアが開発段階にあったにもかかわらず、チームによって発見され、分析されました。
- トルコ語起源の Go で書かれており、Linux および Windows 環境をターゲットとする C2 機能のカスタム スイートを提供します。
- マルウェア開発者は検出回避の改善に積極的に取り組んでおり、Linux バージョンに重点を置いているようですが、ZynorRAT の Windows バージョンはまだカスタマイズが必要です。
- Sysdig の対応: IOC と複数の検知方法を記載した技術ブログが公開されました。
その他のニュースでも
- DDR5 メモリ チップに対する新しい RowHammer スタイルの攻撃: 新しいPhoenix エクスプロイト(CVE-2025-6202) は、ビットの反転、SSH キーの盗難、権限の昇格を可能にします。
- Google のゼロデイ脆弱性が積極的に悪用される: Google は、実際に悪用されていた2 つの Android ゼロデイ脆弱性と1 つのChrome V8 ゼロデイ脆弱性に迅速にパッチを当てました。
- Cisco、14件の脆弱性を修正:これらの脆弱性の一部は積極的に悪用されており、 CISAから緊急指令が発令されました。CVE-2025-20352は最大200万台のデバイスに影響を与えたと言われています。
- 業務中断: コリンズ・エアロスペースへのサイバー攻撃により、欧州の主要空港のチェックインシステムが混乱した。ジャガー・ランドローバーは8月31日の攻撃を受け、英国での生産を9月いっぱい停止せざるを得なかった。
最後に
NPMの侵害やZynorRAT、そして新たに活発なエクスプロイトに至るまで、9月は一つのことを改めて示しました。脅威の状況は進化し続けるものであり、私たちも進化を止めるべきではないということです。サイバーセキュリティ啓発月間である10月を迎えるにあたり、検知、インテリジェンス、そしてリアルタイムで機能するツールに引き続き注力してください。
来月のまとめをお待ちください!Sysdig脅威リサーチチームから最新ニュースをお届けします。
Shai-Hulud に関するウェビナーにこちらから登録してください。