出典:Tomislav Zivkovic(Alamy Stock Photo経由)
ここ2年間、韓国の脅威アクターが、スパムマーケターから認証情報を盗むための悪意あるオープンソースソフトウェア(OSS)パッケージを公開し続けています。
安っぽいクリックベイトやAIによるエサ、再配布された著作権コンテンツ、そしてあからさまな詐欺を行い、アルゴリズムを操作したり偽のエンゲージメントを購入して自分たちの低品質な投稿を強引に拡散する、怪しい使い捨てオンラインアカウントにうんざりしていませんか?そんなあなたを助けてくれる(あるいは、見方によっては傷つける)人物がここにいます。
このダークウェブのアンチヒーローは、韓国語で「soonje」「kwonsoonje」「zon」「nowon」など様々な名で知られています。2023年3月以降、soonjeはRubyプログラミング言語のOSSパッケージマネージャーであるRubyGemsに60個の悪意あるパッケージを公開しています。これらのパッケージ(業界用語で「ジェム」)は、いわゆる「グレーハット」韓国マーケター向けの自動化ツールを含んでいますが、Socketの研究者が発見したように、Windows用の情報窃取マルウェアも含まれています。
これらのジェムは、合計で27万5,000回以上ダウンロードされています。記事公開時点で16個がまだ公開中で、残りの44個は脅威アクター自身によって削除されました。
60個の悪意あるRubyGemsパッケージ
これらのジェムは、グレーハットマーケターが大量のコンテンツを生成し、主にInstagram、X、TikTok、WordPress、Telegramなどのソーシャルメディアサイトでエンゲージメントを作り出すために設計・販売されています。
Socketの上級脅威インテリジェンスアナリスト、Kirill Boychenko氏は次のように説明します。「韓国やアジア太平洋(APAC)地域では、悪意あるパッケージにローカライズされた誘引がよく見られます。今回の場合、韓国語のグラフィカルユーザーインターフェース(GUI)、プロンプト、ドキュメントが特徴で、Kakao(インスタントメッセージ)、Tistory(ブログ)、Naver(ブログやフォーラム付き検索エンジン)など地域特有のプラットフォームと連携しています。」
これらのジェムは表向きの機能を果たしますが、同時にユーザー名、パスワード、MACアドレスも抜き取ります。これはもちろん、よくあることです。Sonatypeが2025年第2四半期に追跡したOSSマルウェアのうち、半数以上が被害者からデータを盗む目的で作られていました。しかし、ハッカーが認証情報窃取型マルウェアをパッケージに仕込む主な理由は、開発者、ひいてはその雇用主、開発したプログラム、そしてそのプログラムの顧客を感染させるためです。
今回の場合、攻撃者の動機はより複雑かもしれません。彼らは盗んだ認証情報をRussian Marketのようなダークウェブフォーラムで転売しています。これらの認証情報が誰かにとって有用である理由は、それらのアカウントがすでに疑似的なオーディエンスを構築しているためであり、soonjeやその顧客が自分たちのマーケティングスパムや何らかの偽情報拡散に利用できるからかもしれません。
理論的には、そのようなアカウントには様々な用途があります。例えば、問題となったジェムのうち2つは株式討論フォーラム用のボットであり、悪意ある関係者が個人的な利害関係を持つ金融資産に関する会話や信念を操作するために使うことができます。
ステルス手法:悪人を標的に
全60個のジェムのうち、16個が現在もアクティブです。soonjeは残りの44個を非公開にしましたが、すでにインストールしたユーザーやキャッシュされたミラーからは依然としてアクセス可能です。Boychenko氏が指摘するように、これはマルウェアを配布しつつ、その可視的な痕跡を隠そうとする試みを示しているかもしれません。
彼らのマルウェアが何の抵抗も受けていないように見えるのは驚きです。特に、「npmやPython Package Index(PyPI)とは異なり、RubyGemsは依存関係ツリーが小さく明確なため、攻撃者は深い依存チェーンに隠れるのではなく、直接インストールに頼ることが多く、『偶発的な』感染が減る」とBoychenko氏は説明します。一方で、RubyGemsはnpmやPyPIほど人気がなく、疑わしいアップロードを監視する目が少ないという側面もあると彼は付け加えます。
何よりも、ハッカーは自分が狙う相手の性質そのものから利益を得ているようです。スパムマーケターにとって、1つのオンラインアカウントは大した損失ではなく(多くを同時に管理しているため)、簡単に交換可能(偽のエンゲージメントは再度購入できるため)、個人的なアイデンティティや重要な資産とは無関係です。したがって、ダークウェブの犯罪者によるグレーハットアカウントの悪用は、せいぜいちょっとした迷惑程度で、全く気づかれないこともあります。あるいは、クリック稼ぎの手伝いをしてくれる「助っ人」として歓迎されるかもしれません。
仮に被害者がハッキング被害を報告したいと思っても、「この手のことをやっていると社会的なスティグマ(汚名)があるので、ためらうかもしれません」とSonatypeの主任セキュリティ研究者Garrett Calpouzos氏は述べています。
正直な開発者は、自分たちの生活を困難にする悪意あるパッケージを進んで報告します。「彼らは大声で叫び、すぐにSNSやニュースで拡散されます。しかし、このような場合、グレーハットマーケターが『検索エンジン最適化(SEO)を悪用して、SNSアカウントにスパムをばらまこうとしたらハッキングされた』と、全てのSNSプラットフォームで報告する可能性は低いでしょう。[同じようにSNSアカウントをスパムしている他の人たちのために]」と彼は指摘します。
悪人を標的にすることは、試した人にとって効果的なステルス戦術のようです。Calpouzos氏は、以前にもこれを見たことがあると振り返ります。例えば、NuGet .NETパッケージマネージャーに大量のアップロードが押し寄せ、「Roblox」というビデオゲームのチートを装っていた時のことです。
Boychenko氏も同様です。「自分自身の運用者を密かに危険にさらすハッキングツールの事例も発見しています。例えば、著者のインフラに接続するリバースシェルユーティリティ、ユーザーを陥れるためにFBIやCIAのドメインを偽装するDDoSツール、永続的なバックドアをインストールしながらトラフィックを傍受するプロキシユーティリティなどです。また、すべてのクラック済み認証情報をパッケージの作者に送信するWi-Fiブルートフォーサーや、イラン発のような誰も自発的には使うべきでないマルウェア入りツールも見ています。」
翻訳元: https://www.darkreading.com/threat-intelligence/60-rubygems-packages-steal-spammers