「Discord」アカウントが乗っ取られる？ 見つかった悪質パッケージの危険性：「Discord」を襲う脅威【前編】

DevOpsツールベンダーのJFrogが、「Discord」ユーザーを狙った悪質なパッケージを発見した。パッケージがDiscordユーザーに害を与える仕組みや危険性を解説する。

[Alexander Culafi，TechTarget]

　ゲーマー向けボイスチャットツール「Discord」のユーザーを狙った17個の悪質なパッケージ（拡張機能群）が、「Node.js」用のパッケージ管理ツール「npm」のリポジトリ（保管庫）で見つかった。Node.jsはスクリプト言語「JavaScript」のサーバサイド実行環境だ。このパッケージの存在は、DevOps（開発と運用の融合）ツールベンダーJFrogの調査で明らかになった。

Discordアカウントの乗っ取りが可能に　悪質パッケージの正体とは

併せて読みたいお薦め記事

Discordへの攻撃

• 「Discord」「Slack」が攻撃者に悪用され始めた“納得の理由”
• 「Discord」「Slack」のファイル共有機能が狙われる理由　その手口とは？

　JFrogのセキュリティ研究者アンドレー・ポルコフニチェンコ氏とシャシャー・メナシュ氏は、2021年12月に公開した同社公式ブログのエントリ（記事）で、今回発見した悪質なnpmパッケージについて解説した。それによると今回のnpmパッケージは、Discordのトークン（ユーザーの識別子）を盗む「トークングラバー」などのマルウェアや情報窃取ツールを用いてDiscordを狙う。攻撃者がDiscordのトークンを盗めば、そのトークンにひも付くDiscordアカウントを乗っ取ることが可能になるという。

　このエントリは、攻撃者がトークンとそれにひも付くDiscordアカウントを使ってbotネット（マルウェアに感染したマシンで構成されるネットワーク）を構築し、マルウェアを拡散しようとした可能性があると解説。「攻撃者が盗んだアカウントの中に、Discordの有料サービス『Nitro』を利用しているユーザーのアカウントがあれば、攻撃者がそれらのアカウントを販売しようとしていた可能性がある」という仮説を立てた。

　メナシュ氏によると、今回のnpmパッケージは、JFrogによるnpmリポジトリの定期スキャン中に見つかった。同社は、npmリポジトリをはじめポピュラーなパッケージのリポジトリを定期的にスキャンして、悪質なパッケージがないかどうかをチェックしている。同氏らは、スキャナーが悪質だと判断したパッケージが、本当に悪質かどうかを人目で確認し、その影響を評価した。その際に見つかった「prerequests-xcode」「wafer-bind」などの、Discordとは関係ない幾つかの悪質なパッケージも公開した。

　攻撃者がDiscordを標的にするのは今に始まったことではない。Cisco Systemsのセキュリティ研究機関Cisco Talosが2021年4月に公式ブログで公開したエントリは、Discordでのファイル添付によるトークン窃取やマルウェア配布について解説している。セキュリティベンダーSophosも、攻撃者がDiscordユーザーをどのように攻撃したのかを調査した結果を2021年7月に公式ブログで公開した。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。