北朝鮮の「伝染性インタビュー」キャンペーンの新たな波が、情報窃取ツールとバックドアを開発者のデバイスに感染させる悪意のあるnpmパッケージを使用して求職者を標的にしています。
これらのパッケージはSocket Threat Researchによって発見され、被害者のマシンにBeaverTail情報窃取ツールとInvisibleFerretバックドアをロードすることが報告されています。これらはDPRKアクターに関連する十分に文書化されたペイロードです。
最新の攻撃の波では、24のアカウントを通じてnpmに提出された35の悪意のあるパッケージが使用されています。これらのパッケージは合計で4,000回以上ダウンロードされており、執筆時点で6つがまだ利用可能です。
35の悪意のあるnpmパッケージのいくつかは、よく知られた信頼できるライブラリをタイポスクワットしたり模倣したりしており、特に危険です。
注目すべき例としては以下があります:
- react-plaid-sdk, reactbootstraps
- vite-plugin-next-refresh, vite-loader-svg
- node-orm-mongoose
- jsonpacks, jsonspecific
- chalk-config
- node-loggers, *-logger
- framer-motion-ext
- nextjs-insight
- struct-logger, logbin-nodejs
被害者は通常、ソフトウェアエンジニアや開発者であり、北朝鮮の工作員がリクルーターを装ってテストプロジェクトに取り組むよう求めることで、これらのパッケージをダウンロードさせられます。
「LinkedInでリクルーターを装い、北朝鮮の脅威アクターはGoogle Docsを通じて開発者や求職者にコーディングの「課題」を送り、これらの悪意のあるパッケージをプロジェクトに埋め込み、候補者にコンテナ化された環境外でコードを実行するよう圧力をかけることが多い」とSocketは説明しています。
出典: Socket
課題はBitbucketにホストされ、正当なテストとして偽装されていますが、実際にはターゲットのコンピュータに複数のペイロードをドロップする感染チェーンを引き起こします。
最初の段階はHexEval Loaderで、npmパッケージに隠されており、ホストの指紋を取得し、脅威アクターのコマンド・アンド・コントロール(C2)サーバーに接触し、’eval()’を使用して2段階目のペイロードであるBeaverTailを取得して実行します。
BeaverTailはマルチプラットフォームの情報窃取ツールおよびマルウェアローダーであり、ブラウザデータ(クッキーや暗号通貨ウォレットを含む)を盗み、3段階目のInvisibleFerretをロードします。
InvisibleFerretはZIPファイルとして配信されるクロスプラットフォームの持続的バックドアであり、攻撃者に被害者のシステムへのより深い継続的なアクセスを提供し、リモートコントロール、ファイルの盗難、スクリーンショットの機能を持ちます。
最後に、攻撃者はクロスプラットフォーム(Windows、macOS、Linux)のキーロガーツールをドロップし、低レベルの入力イベントにフックしてリアルタイムの監視とデータの流出を行います。
このキーロガーはキャンペーンで使用されたnpmエイリアスの1つにのみ関連付けられていたため、選択された高価値ターゲットにのみ展開される可能性があります。
出典: Socket
高額なリモートジョブオファーを受けたソフトウェア開発者は、これらの招待を慎重に扱い、未知のコードをOS上で実行するのではなく、常にコンテナや仮想マシンで実行するべきです。
昨年3月、北朝鮮のハッカー集団ラザルスはnpmに別の悪意のあるパッケージセットを提出して捕まりましたので、これは継続的なリスクです。
なぜITチームは手動のパッチ管理をやめているのか
パッチ適用は複雑なスクリプト、長時間の作業、終わりのない火消し作業を意味していました。もうそうではありません。
この新しいガイドでは、Tinesがどのようにして現代のIT組織が自動化でレベルアップしているかを説明します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中しましょう — 複雑なスクリプトは必要ありません。