ソフトウェアセキュリティ企業Socketによると、北朝鮮の脅威アクターが進行中の「Contagious Interview」攻撃を大幅にエスカレートさせたことが明らかになり、セキュリティ警告が発せられました。彼らは現在、JavaScript開発者がコードを共有・ダウンロードする人気のソフトウェアプラットフォームnpmレジストリに、2025年10月10日以降、約200個の新たな悪意あるパッケージを大量に投入しています。Socketの調査によると、この攻撃は偽の面接や「テスト課題」を通じて、ブロックチェーンおよびWeb3開発者を標的にしています。
さらに調査を進めたところ、これらの新しい悪意あるパッケージはすでに31,000回以上ダウンロードされており、危険なOtterCookieマルウェアを密かにインストールするよう設計されていることが判明しました。
過去の攻撃との関連
このキャンペーンは、Hackread.comが取り上げた以前のContagious Interview攻撃に続くもので、2024年のレポート(Eager Crypto Beaversとも呼ばれる)では、ラザルスグループが偽の求人オファーや悪意あるビデオ会議アプリ(FCCCallなど)を使ってBeaverTailマルウェアを配布していたことが報告されています。
2025年4月には、Silent Pushもこのキャンペーンをラザルスグループと関連付け、AI生成の従業員画像や偽企業(BlockNovas LLC)を使って求職者を誘い込む手法を詳述しました。Cisco Talosは後に証拠を発見し、BeaverTailがOtterCookieと機能を統合したことを明らかにしました。Socketの発見は、攻撃者が同じマルウェアファミリーを使い続けていることを裏付けています。
三重の脅威:GitHub、Vercel、そしてマルウェア
Socketのブログ記事によると、攻撃者は巧妙な多段階システムを使ってマルウェアを配布しています。まず、悪意あるコードパッケージ(tailwind-magic、node-tailwind、react-modal-selectなど)をnpmレジストリ上で無害なユーティリティツールのように偽装します。被害者が偽パッケージをインストールすると、それが密かにVercel上の一時的なオンラインストレージ(tetrismicvercelappとして追跡)にアクセスし、攻撃の次の段階を開始します。
このVercelサイトは次に、GitHub上の隠されたアカウント(具体的にはstardev0914、18のリポジトリがあり現在は削除済み)から最終的な悪意あるコードを取得します。インフラは、感染後のデータ収集を担当する別のサーバー(IPアドレス144.172.104.117で追跡)に依存しています。
攻撃者は、暗号通貨関連のウェブサイトをクローンした偽プロジェクトなどを含め、悪意あるパッケージを正規のものに見せかけるための誘導にも利用しています。
マルウェアが秘密情報を盗む仕組み
OtterCookie(BeaverTailの亜種)は、大量の個人データを盗むよう設計されています。被害者のコンピュータに感染するとすぐに、まずセキュリティ専門家による解析が行われていないかを確認し、問題がなければハッカーのサーバーに接続します。
この接続により、攻撃者はレポートで「リモートシェル」と呼ばれるもの、つまり感染したマシンを遠隔操作できる権限を得ます。この多機能マルウェアは、クリップボードの内容を継続的に盗み取る、キーロギング、スクリーンショットの取得、重要なドキュメントのスキャンなどの機能を持ちます。また、Windows、macOS、Linuxの各コンピュータでブラウザの認証情報や暗号通貨ウォレットのデータも狙います。
「この継続的な攻撃ペースにより、Contagious Interviewはnpmを悪用する最も多産なキャンペーンの一つとなっています」とSocketの脅威リサーチチームは結論付けています。
専門家の見解:
Socketの調査を精査したセキュリティ専門家らは、Hackread.comに対し、この北朝鮮の作戦がいかに組織的かつ継続的であるかを強調しました。
Collin Hogue-Spears氏(Black Duckのソリューション管理シニアディレクター)は、このキャンペーンが非常に体系的かつプロフェッショナルであると指摘。「Contagious Interviewは産業化されたソフトウェアサプライチェーンキャンペーンであり、単発のバックドアではありません」と述べました。
彼は、ハッカーがソース管理にGitHub、ペイロードのステージングにVercel、配布にnpm、情報流出用に別のC2階層を使うことで、攻撃のモジュール性を示していると強調しました。Hogue-Spears氏は、「悪意ある“自宅課題テスト”が、内部関係者と同等のアクセス権を攻撃者に与える可能性がある」と警告しています。
Randolph Barr氏(Cequence Security最高情報セキュリティ責任者)も同様の見解を示し、攻撃者が正規の開発チームを模倣していると指摘。「まるで簡略化されたソフトウェア開発ライフサイクルのようですが、製品機能ではなくマルウェアのためです」と述べ、オープンな開発者システムを利用することで「比較的容易に大規模な悪意あるアップデートを配信できる」と強調しました。
Jason Soroko氏(Sectigoシニアフェロー)もこの比較を支持し、「マルウェアのための簡略化されたソフトウェア開発ライフサイクルという表現は本質的に正確だ」と述べました。オペレーターは「機動性と生存性を最大化するパターン」、例えばペイロードと配信の分離や、同じコアマルウェアを多数の誘導に迅速にクローンすることを重視していると指摘しています。
翻訳元: https://hackread.com/nk-hackers-npm-packages-ottercookie-malware/
