Article

Tracking an OtterCookie Infostealer Campaign Across npm - Panther | The Security Monitoring Platform for the Cloud2026 年 4 月、npm スキャナが複数の投棄アカウントから発行された OtterCookie 情報窃取キャンペーンの悪意のあるパッケージを検知した。

unpinnedSecurity-Global

Summary

analysis llm/ollama(qwen3.5:4B) / 40s

published 2026-04-10 09:00 JST

Sources

Reddit / r/blueteamsec

Analysis Tags

contagious-traderinfostealernordic-malwarenpmotter-cookieottercookiepanthervercel

Manual Tags

none

Reading

Article Notes

要点

2026 年 4 月、npm スキャナが複数の投棄アカウントから発行された OtterCookie 情報窃取キャンペーンの悪意のあるパッケージを検知した。
悪意のあるコードは大きな依存関係として配置され、postinstall Hooks で実行され、Credential Theft と SSH バックドアの両方の機能を持つ。
この攻撃は北朝鮮の FAMOUS CHOLLIMA に関連する Contagious Trader カンプエインであり、Vercel 領域を使用した C2 インフラを共有している。

重要性

npm エコシステムの汚染と、北朝鮮による高度なサプライチェーン攻撃手法の進化に対する明確な警告を発している。

Signals

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。

Context

背景と運用文脈を補って読むことで、影響の見え方が大きく変わる話題です。実装だけでなく、現場の扱い方や周辺ルールまで見ておく必要があります。