悪名高い「Contagious Interview」キャンペーンの背後にいる北朝鮮の脅威アクターが、新たなマルウェアローダーを用いて活動を拡大していると、Socketの研究者が報告しました。
このローダー「XORIndex」は、2025年6月から7月の間に9,000回以上ダウンロードされており、主な標的は開発者、求職者、暗号資産や機密認証情報を持っていると考えられる個人です。
XORIndexはデータ収集や二段階目のマルウェア実行に利用され、最終的には暗号資産の窃取につながります。
これらのダウンロードは、攻撃者がnpmレジストリ(オープンソースJavaScriptパッケージのデータベース)にさらに67個の悪意あるパッケージを公開した、より大規模なキャンペーンの一部です。
これらのパッケージは合計で17,000回以上ダウンロードされており、研究者によれば、そのうち27個がnpmレジストリ上で依然として公開されています。
XORIndexは新たなパッケージ28個に組み込まれており、その他のパッケージでは以前発見されたマルウェアローダー「HexEval」が使われており、こちらも8,000回以上追加でダウンロードされています。
新しいパッケージは、Socketが2025年6月に脅威アクターがnpmレジストリに35個の悪意あるパッケージを公開したことを観測した後に発見されました。これらのパッケージにはすべてHexEvalが含まれていました。
Socketは残存するパッケージの削除をnpmのセキュリティチームに要請し、関連アカウントの停止も申し立てています。
研究者によれば、XORIndexの開発は、Contagious Interviewアクターがより秘匿性が高く、堅牢なソフトウェアサプライチェーンマルウェアへの継続的な投資を反映しており、システム全体の侵害が可能です。
「北朝鮮の脅威アクターは、HexEvalやXORIndexのような既存のローダーを再利用しつつ、新たな難読化技術やローダーのバリエーションを導入すると予想されます」と、研究者は2025年7月14日付のブログに記しています。
多機能マルウェアローダー
研究者は、XORIndexが28個の悪意あるnpmパッケージに含まれており、これらは15種類の異なるメールアドレスで登録された18のnpmアカウントから配布されていることを確認しました。
HexEvalと同様に、このマルウェアは攻撃者のために様々な機能を果たします。
インストールされると、XORIndexはホスト名、現在のユーザー名、オペレーティングシステムの種類、外部IPアドレスなど、ローカルホストのテレメトリ情報を収集します。
この情報はハードコードされたコマンド&コントロール(C2)インフラに送信されます。
その後、マルウェアは「BeaverTail」という、北朝鮮のContagious Interview攻撃で使われる定番の二段階目マルウェアをロードします。
BeaverTailは、数十種類の既知のデスクトップウォレットディレクトリやブラウザ拡張機能のパスをスキャンし、データを収集します。この情報は、ウォレットデータベース、ブラウザ拡張のローカルストレージ、macOSキーチェーンの認証情報、Solana ID、ウォレット関連のJSONファイルなど、暗号資産ウォレットの侵害を可能にするために設計されています。
収集されたデータはハードコードされたIPベースのHTTPエンドポイントに送信され、アップロードが成功すると削除されます。
その後、BeaverTailはこの作戦に関連する既知の三段階目バックドア「InvisibleFerret」のロードを試みます。
継続中の「Contagious Interview」キャンペーン
Contagious Interviewキャンペーンは2023年11月に初めて報告され、その後複数のマルウェアバージョンが登場し進化しています。
このキャンペーンは、悪名高い北朝鮮の国家支援グループ「Lazarus」と関連付けられています。
攻撃者はLinkedInなどの求人プラットフォームを悪用し、開発者向けの求人を装って雇用主になりすまします。
彼らは詐欺を信じさせるために偽のウェブサイトを作成し、プロフェッショナルな開発ツールを装って悪意あるソフトウェアを配布します。
被害者は、GitHubやnpmなどのオープンソースリポジトリ上で正規ツールに偽装された悪意あるソフトウェアをダウンロードするよう誘導されます。
翻訳元: https://www.infosecurity-magazine.com/news/north-korean-contagious-interview/