TokyoBlackHatNews

hackread.com 4分で読了

Lazarus Group、開発者向けツールに新たなBeaverTail亜種を埋め込む

2025年12月18日(木)、サイバーセキュリティ企業Darktraceは、JavaScriptベースの情報窃取型マルウェアであるBeaverTailの危険な新亜種に関する新たな調査結果を公表しました。

北朝鮮の悪名高いLazarus Groupに関連付けられるこのソフトウェアは、金融および暗号資産セクターを標的とする、ますます攻撃的になっているキャンペーンの一部です。Hackread.comと共有されたこの調査は、Darktraceの最新レポート「The State of Cybersecurity」の一部です。

研究者によると、このソフトウェアは偽の求人オファーを通じて拡散することが多いとのことです。ハッカーは採用担当者になりすまし、開発者や暗号資産トレーダーを「技術面接」に誘い込み、MiroTalkやFreeConferenceのようなツールのダウンロードを要求します。しかし実際には、これらは被害者のシステムを侵害するために仕組まれた罠です。

進化の歴史

注目すべき点として、BeaverTailは新しいものではありません。2022年から活動しているものの、大きな変貌を遂げています。Hackread.comは以前、2025年10月にBeaverTailがOtterCookieと呼ばれる別のマルウェア系統と融合し始めていると指摘しました。

この進化は着実に進んできました。Darktraceの研究者は、2024年版が主にブラウザプロファイルに関心を示していた一方で、2025年初頭までにハッカーがユーザーのクリップボードにコピーされたあらゆるものを盗むツールを追加したと述べています。

最新のV5版はさらに侵襲的で、すべてのキーストロークを記録し、4秒ごとに被害者のデスクトップのスクリーンショットを撮影します。「インストールされると、BeaverTailはブラウザの認証情報、クレジットカードデータ、暗号資産ウォレットの鍵を流出させた」と、レポートには記されています。

現代的な戦術とブロックチェーンのトリック

研究者は、この最新バージョンの検知がこれまで以上に難しくなっていると指摘しています。というのも、ハッカーが現在、VS Code拡張機能やnpmパッケージ(アプリ作成に用いられる標準的な構成要素)の中にマルウェアを隠しているためです。これは「モジュール型のクロスプラットフォーム」脅威となっており、Windows、Mac、Linuxの間を滞りなく移動できることを意味します。

さらなる調査により、この新バージョンはコードを隠すために「128層以上」の秘匿化を用いていることが明らかになりました。この深い防御は、以前のバージョンで見られたものをはるかに上回ります。マーケティング担当者から小売業の従業員まで幅広く標的にするこれらのキャンペーンは、Famous Chollima、Gwisin Gang、Tenacious Pungsanといった北朝鮮のクラスターに帰属されており、いずれもより大きなLazarus Groupに関連しています。

興味深いことに、これらのグループは現在、ブロックチェーンのスマートコントラクト内にコマンドを保存する手法であるEtherHidingを使用しています。これにより攻撃はほぼ停止不可能になります。安全を保つため、専門家は、いかなる「技術評価」を実行する前にも、企業の公式な人事部門を通じて求人オファーを確認することを推奨しています。

Darktraceが高度に難読化されたBeaverTail亜種を特定したことは、手口における重大なエスカレーションを示しており、軽量な窃取ツールを、128層以上の秘匿化により保護されたシグネチャ回避型フレームワークへと変貌させた。と、アリゾナ州スコッツデールに拠点を置く包括的な証明書ライフサイクル管理(CLM)プロバイダーSectigoのシニアフェローであるJason Soroko氏は述べました。

トロイの木馬化されたnpmパッケージやVS Code拡張機能を通じてソフトウェアサプライチェーンを武器化することで、Lazarus Groupは開発者の信頼を悪用している。同時に「EtherHiding」によってインフラのレジリエンスを確保し、ブロックチェーンのスマートコントラクト上にC2(コマンド&コントロール)ペイロードを保存することで、テイクダウンに対して実質的に作戦を免疫化している。とSoroko氏は説明しました。

この技術的成熟は、BeaverTailとOtterCookie系統の戦略的な収束によって頂点に達し、Windows、macOS、Linux環境全体にわたる持続的な金融窃取と監視のために設計された統合型のクロスプラットフォーム手段を生み出している。と、同氏は警告しました。

翻訳元: https://hackread.com/lazarus-embed-beavertail-variant-developer-tools/

ソース: hackread.com
#BeaverTail #EtherHiding(ブロックチェーン悪用) #Lazarus Group #npmパッケージ #VS Code拡張機能 #ソフトウェアサプライチェーン攻撃 #北朝鮮ハッカー #情報窃取マルウェア #暗号資産・金融セクター #求人詐欺(偽リクルーター)

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃