出典: DD Images via Shutterstock
北朝鮮の「Contagious Interview」キャンペーンは求職者を標的に再び拡大し、今回はまるで精巧に動く機械のように継続的なnpmパッケージ汚染ゲームを展開しています。脅威アクターは、31,000回以上の合計ダウンロード数を持つ197以上の悪意あるnpmパッケージを10月10日以降、ソフトウェア開発者を誘い込み、侵害する国家支援活動の一環として配布しています。
このキャンペーンの最新の波では、少なくとも数年前から継続しており、北朝鮮の脅威アクターは偽の面接や「テスト課題」を通じてブロックチェーンやWeb3開発者を標的にしていると、Socket Threat Researchが今週発表したレポートで伝えています。
少なくとも6月以降、彼らは初期アクセス用マルウェアを配布するよう設計された悪意あるnpmパッケージの配布を標的に追加しており、攻撃者はさらなるペイロードの配信、リモートアクセス型トロイの木馬(RAT)のインストール、認証情報や暗号資産の窃取が可能となっています。
さらに、攻撃者はGitHubインフラストラクチャを通じて一貫して悪意あるパッケージを作成・アップロードしており、これが活動の少なくとも一部を支えています。これまでにSocketは、累計で数万回ダウンロードされた数百の悪意あるnpmパッケージを発見しています。
「この持続的なテンポにより、Contagious Interviewは最も多産なnpm悪用キャンペーンの一つとなっており、北朝鮮の脅威アクターが現代のJavaScriptや暗号通貨中心の開発ワークフローにいかにツールを適応させているかが示されています」と、Socket Threat ResearchのKirill Boychenkoはレポートで述べています。
マルウェアとDPRK攻撃者インフラの解明
このContagious Interviewキャンペーンは、LinkedInなどのソーシャルメディアを通じてリクルーターや採用担当者を装い、被害者を誘い込む策略から始まります。最終的な目的は、認証情報、秘密鍵、トークン、その他金銭化可能な秘密情報を保持している可能性の高い開発者のマシンを侵害することだとSocketは指摘しています。
ある時点で、求職者は偽のプロジェクトで「テスト」作業を依頼され、ここで悪意あるnpmパッケージが攻撃フローに登場します。最新の悪意あるnpmパッケージは、OtterCookieマルウェアの亜種を配布しており、これはBeaverTailマルウェアと過去のOtterCookieバージョンを組み合わせたものだとSocketは説明しています。BeaverTailはさらなるペイロードのダウンローダーとして機能することが多く、OtterCookieは多段階の情報窃取型マルウェアおよびRATです。
このマルウェアはコマンド&コントロール(C2)チャネルを確立し、攻撃者にリモートシェルや2段階目のマルウェア配信能力を提供します。また、クリップボード内容の窃取、キーストロークの記録、スクリーンショットの取得、ブラウザ認証情報・ドキュメント・暗号資産ウォレットデータ・シードフレーズの収集などの機能も持つとSocketは述べています。
悪意ある活動の基盤としてのGitHub活用
Socketの研究者はまた、悪意あるパッケージの配信を支えるGitHubインフラも発見しました。その一つである「tailwind-magic」というパッケージを追跡したところ、その発信元にたどり着きました。これにより、Vercelでホストされたステージングエンドポイントtetrismic[.]vercel[.]app、さらに脅威アクターが管理するGitHubアカウントstardev0914(18のリポジトリを含む)に行き着きました。チームはDPRK ResearchブログのKieran Miyamotoと協力してこのGitHubアカウントを特定しました。
「これらのリポジトリは…一貫した敵対的配信スタックを形成しています。マルウェア配信用コードはGitHub上にあり、最新のペイロードはVercelから取得され、別のC2サーバーがデータ収集とタスク処理を担っています」とBoychenkoは記し、キャンペーンで配布された悪意あるnpmパッケージのうち少なくとも5つが、このインフラを利用して2段階目のペイロードを配信していると述べています。
このようにGitHubをキャンペーンの基盤として一貫して継続的に利用している点が、他の悪意あるnpmパッケージキャンペーン(近年ますます一般的になっている)と一線を画していると、アプリケーションセキュリティソリューションプロバイダーBlack Duckのソリューション管理担当シニアディレクター、Collin Hogue-Spearsは指摘します。
「以前のnpm攻撃は『一撃離脱』型でした。1つのパッケージを侵害し、現金化して姿を消すというものです」と彼はDark Readingに語ります。「しかし、この新しいキャンペーンは継続的に運用されています。正規のチームが機能をリリースするのと同じように、彼らもマルウェアを出荷しているのです。」
実際、このキャンペーンの体系的な長期性は他の悪意あるパッケージ攻撃と一線を画していると、包括的な証明書ライフサイクル管理(CLM)プロバイダーSectigoのシニアフェロー、Jason Sorokoも同意します。
「この持続性、ソーシャルエンジニアリングとサプライチェーン悪用の組み合わせ、そしてGitHubやVercelワークフローへの詳細な可視性は、単なる一時的な乗っ取りではなく、恒常的な製品運用のように見せています」と彼は述べています。
開発者環境をサイバーセーフにするために
現時点でstardev0914アカウントはGitHub上で非アクティブとなっていますが、DPRKの攻撃者はすぐに再編成し、他のアカウントを作成して悪意ある活動を続けており、「新たなnpm侵入が毎週のように出現している」とBoychenkoは警告しています。
実際、npmパッケージは今後もソフトウェアサプライチェーンを汚染するための人気の攻撃面であり続けるだろうと専門家は述べています。これは開発プラットフォームの性質によるものです。
「npmのアーキテクチャはスピード重視で構築されており、敵対者から守るためのものではありませんでした」とHogue-Spearsは指摘します。「これは10年前には合理的なトレードオフでしたが、今ではnpm installのたびにリモートコード実行(RCE)の可能性が生じ、国家レベルのアクターもそれに気づいています。」
ソフトウェアサプライチェーンを守るために、組織は依存関係ガバナンスを最上位のセキュリティ分野と捉え、どのパッケージが使われているか、メンテナーとその行動をより厳しく監視する必要があると、APIセキュリティ企業Cequence SecurityのCISO、Randolph Barrは述べています。
「難読化コード、post-installフック、予期しないメンテナー、奇妙なネットワーク活動などの問題を検出する現代的なリスクツールを使うことは、パッケージ選定プロセスの重要な一部であり、開発者環境をより安全にするという全体目標に貢献します」と彼は述べています。
翻訳元: https://www.darkreading.com/application-security/contagious-interview-malicious-npm-package-factory
