2022年初頭以来、北朝鮮のハッカー集団は暗号資産業界への攻撃を執拗に続けてきました。今、彼らはその戦術を進化させ、こうしたプラットフォームを構築する開発者たちを直接狙うようになっています。
Proofpointが「UNK_DeadDrop」として追跡する新たな脅威クラスターは、ソフトウェア開発者を標的とした大規模な攻撃の波を浮き彫りにしています。
2026年4月から5月にかけて、攻撃者はテクノロジーおよび金融分野の専門家に対して250通以上の高度に標的化されたメールを送付しました。偽の求人オファーやコードレビューの依頼を餌にして、セキュアなネットワークへの侵入を図るものです。
罠は、開発者がクローンされたリポジトリを開いた瞬間に作動します。攻撃者は隠しフォルダ内に tasks.json という設定ファイルを潜ませています。
このファイルは、ワークスペースをエディタで開いた際に事前設定されたタスクを自動実行するという機能を悪用したものです。
VS Codeは通常ユーザーに許可を求めるのに対し、Cursorエディタはこのスクリプトをユーザーの操作なしに無音で実行するため、マシンが即座に侵害されてしまいます。
スクリプトが起動すると、正規のGoogleサービスに偽装した悪意あるVS Code拡張機能がひそかにインストールされます。この拡張機能はmacOSおよびLinux上での永続化機構として機能し、エディタが起動するたびにマルウェアが再起動する仕組みになっています。
マルウェアはすぐに攻撃者が制御するサーバーへ接続し、データの窃取を開始します。主な標的は、ブラウザベースの暗号資産ウォレット、デスクトップウォレット、復号されたパスワード、そして重要なAPIトークンです。
痕跡を隠しセキュリティ研究者の解析を妨害するため、スクリプトは最終的に悪意あるペイロードを開発者のマシンから削除します。
UNK_DeadDropは、被害者のオペレーティングシステムに応じて高度に特化されたマルウェアを使用します。macOSおよびLinuxユーザーに対しては、Goで書かれたオープンソースの「Overlord」フレームワークを改変したバイナリが感染チェーンとして展開されます。
このバイナリは永続的なリモートアクセス型トロイの木馬として機能します。両オペレーティングシステム上でマルウェアは偽のシステムダイアログボックスを表示し、ユーザーにパスワードの入力を促すことで、システムキーチェーンやGNOMEキーリングから直接認証情報を窃取します。
Proofpointの調査によると、従来の実行ファイルをハードドライブに保存する手法とは異なり、このマルウェアはコードエディタのプロセス内でJavaScriptとして完全に動作します。
基盤となるフレームワークの組み込み機能を悪用することで、マルウェアはエディタをNode.jsインタープリタとして利用します。
暗号資産ウォレットを体系的にスキャンし、App-Bound Encryptionなど最新のWindowsセキュリティ機能を回避して保存済みパスワードを抜き出します。
さらに、ロックされたデータベースを読み取れるようにするため、ブラウザのアプリケーションフォルダにPythonの隠しコピーをインストールまでします。今回のキャンペーンは、北朝鮮のサイバー作戦が明確に進化していることを示しています。
「Contagious Interview」など過去に記録されたキャンペーンとの類似点はあるものの、UNK_DeadDropははるかに高い洗練度と組織化レベルを示しています。
正規のリポジトリを装ったコード内にペイロードを直接埋め込み、信頼された開発者ツールを通じて実行を自動化することで、非常に効果的かつ発見困難な罠を作り上げています。
開発者の皆さんは、見知らぬリポジトリを開くよう求められた場合、特に突然の求人面接においては、細心の注意を払うようにしてください。
翻訳元: https://cyberpress.org/north-korean-hackers-weaponize-github/
