Snykのセキュリティ研究者、cursor.comを狙った悪意あるNPMパッケージを配布

Snykのセキュリティ研究者による悪意あるNPMパッケージの配布

• 毎朝、筆者は前夜に検出された悪意あるパッケージを確認している。まるで漁師が網にかかった魚を確かめるようなものだ。
• 最近、SnykのあるユーザーがCursor.comを標的にした複数のパッケージをNPMに公開していたことが見つかった。
• これらのパッケージは「cursor-retreival」「cursor-always-local」「cursor-shadow-workspace」といった名前を持つ。
• これらのパッケージをインストールすると、システムデータを収集し、攻撃者が制御するWebサービスへ送信する。

パッケージの動作方式

• パッケージはenvコマンドの出力を収集し、AWSキー、NPMトークン、GitHub認証情報などの機密情報を露出させる。
• 収集されたデータは攻撃者が所有するWebサイトへ送信される。

意図された攻撃

• これらのパッケージは、特定企業に対する依存関係混同攻撃を試みたものとみられる。
• Cursor.comがバグバウンティプログラムを運営しているかは不明だが、Cursorの従業員が誤ってこうした公開パッケージをインストールするよう誘導する狙いがあったと推測される。

悪意あるパッケージの識別

• OpenSSFパッケージ分析スキャナーが、このパッケージを悪意あるものとして識別した。
• OSVはMAL-2025-27、MAL-2025-28、MAL-2025-29という3件のマルウェア勧告を生成した。

パッケージ配布者

• NPMパッケージのメタデータによると、Snyk Security Labsチームのsnyk.ioメールアドレスを使うユーザーがパッケージを公開した。
• メタデータのauthorフィールドにはSnykの従業員への言及があり、これは偽装の可能性もあるが、公開者は認証済みのSnykメールを使用していた。

対応方法

• NPMには警告したものの、まだ悪意あるものとして表示されておらず、多くのソフトウェアサプライチェーンセキュリティツールは、パッケージが悪意あるものだと判明するまで保護できない。
• NPMパッケージを無差別にインストールしないことが望ましく、パッケージの正当性を判断できるシグナルを知っておくことが重要だ。
• すべてのパッケージにはpackage.jsonとindex.js（またはmain.js）の2ファイルしか含まれていない。これはパッケージの正当性を判断する複数のシグナルの1つだ。
• NPMがこうしたパッケージを近く削除することが期待される。