北朝鮮のハッカー集団が、ソフトウェア開発者を標的とした大規模な新たな攻撃キャンペーンを開始しました。攻撃者は偽の求人情報や、他者のコードのレビューを依頼する手口を駆使しています。Proofpointによれば、金融・テクノロジー・教育・暗号資産など各セクターにわたる約100組織の従業員がすでに標的にされています。研究者はこの活動を「UNK_DeadDrop」という名称で追跡しています。
被害者を引き込む手口
この攻撃は、広く利用されている共同開発プラットフォームを軸に展開されています。潜在的な被害者のもとには、求人の案内やオープンソースプロジェクトのレビューを依頼するメールが届きます。これらのメッセージには、本物らしく見える技術課題・暗号資産ツール・AI関連プロジェクトを装ったGitHubリポジトリへのリンクが含まれています。
開発者がリポジトリをダウンロードすると、Visual Studio CodeまたはCursorで開くよう誘導されます。リポジトリ内には悪意のあるスクリプトを自動的に起動できる特殊なタスクファイルが潜んでいます。このシナリオでは特にCursorが危険です。Visual Studio Codeは通常、こうしたタスクを実行する前にユーザーへ警告を表示しますが、Cursorはプロジェクトを開いた瞬間に追加の確認なしで即座に実行してしまいます。
OSごとに異なるペイロード
この時点から、攻撃は被害者のOSに応じて異なる形で展開されます。LinuxおよびmacOS環境では、オープンソースツール「Overlord」の改ざんされたバージョンがインストールされ、デバイスが遠隔制御ノードへと変えられます。Windowsユーザーにはまったく異なる手法が用いられます。悪意のあるコードがエディタ自体のコンポーネント内で実行され、ディスク上に明らかな痕跡を残さないよう設計されています。
真の標的:暗号資産ウォレットと認証情報
攻撃者の主な目的は、デジタル資産とログイン認証情報の窃取です。マルウェアは暗号資産ウォレットの内容、ブラウザ拡張機能のデータ、保存されたパスワード、認証ファイルなど価値ある情報を収集します。macOSおよびLinux上では、攻撃者はさらに踏み込んで偽のシステムプロンプトを表示し、ユーザーのパスワードを詐取します。その後、権限昇格を試み、システムのキーチェーンストレージからデータを抽出しようとします。
6週間で250件超のフィッシングメール
研究者たちはこのキャンペーンに関連するフィッシングメールを、6週間で250件以上記録しました。攻撃者は実在する企業名と架空の暗号資産プロジェクト名を隠れ蓑として利用しました。典型的な誘い文句には、フルスタックエンジニアやエージェント・リードデベロッパーといった職種への求人、コードレビューやスマートコントラクト開発ツールのテスト依頼などが含まれています。最近では、AIエージェント向け決済システムに関連するプロジェクトの配布へと手口を移行しています。
Contagious InterviewとUNK_DeadDropの比較
手法の面では、UNK_DeadDropは開発者と暗号資産を狙う北朝鮮の既知キャンペーン「Contagious Interview」に類似しています。ただし、Proofpointの研究者はいくつかの重要な違いを指摘しています。この新しいグループは大量メール配信に大きく依存しており、独自のインフラを運用し、外部サーバーからペイロードを配信するのではなくリポジトリ内に直接悪意あるコンポーネントを埋め込んでいます。詳細については、Proofpointによるキャンペーンの完全な技術解説をご参照ください。
拡大・組織化する脅威
レポートの著者らは、開発者を狙う北朝鮮の作戦がますます大規模かつ組織化されていると見ています。標的型のソーシャルメディア接触から大規模なメールキャンペーンへと軸足を移すことで、攻撃者はより多くの潜在的被害者にアプローチできるようになっています。さらに、信頼された開発ツールを悪用することで疑惑を回避し、既存の多くのセキュリティ防御を潜り抜けています。
翻訳元: https://meterpreter.org/unk-deaddrop-north-korean-developer-phishing/
