Sonatypeによると、北朝鮮の脅威アクターが大胆な新たなサイバースパイ活動の一環として、200を超える悪意あるオープンソースパッケージを配布しました。
このセキュリティベンダーは、2025年前半だけで234個のユニークなnpmおよびPyPIマルウェアパッケージをブロックし、最大36,000人の被害者がいた可能性があると主張しています。
Sonatypeは、このキャンペーンを悪名高いラザルスグループによるものとし、国家支援のアクターによる「戦略的転換」を示していると述べています。
彼らがこのようにオープンソースを標的にした理由は、開発者がパッケージを検証やサンドボックス化せずにインストールすることが多く、CI/CDシステムが悪意ある依存関係を自動的に拡散し、埋め込まれた悪意あるコードが長期間残存しうるためと考えられます。
オープンソースの脅威についてさらに読む:悪意あるオープンソースパッケージが年間188%増加
Sonatypeによると、検出された多くのパッケージは正規の開発用ライブラリを装う、または似せて作られていました。インストールされると、通常は「ステルス性の維持、永続化の達成、機密データの流出」を目的とした多段階攻撃を実行します。
検出された234個の悪意あるパッケージのうち、120個は追加のマルウェアを配布するドロッパーであり、90個は機密情報の流出を目的としていました。
「これは、ラザルスが単なるリソースの乗っ取りによるマイニングなどの機会的な金銭獲得だけを追求しているわけではないことを示しています」とレポートは指摘しています。
「むしろ、彼らはオープンソースを活用して密かに機密データを収集し、長期的な金融情報やスパイ活動へのアクセスの道を開いています。盗まれた認証情報は最終目的ではありません。それは王国への鍵であり、ソースコードリポジトリ、クラウドインフラ、社内ネットワークへのアクセスを得るためのものです。」
ラザルス、開発者を標的に
Sonatypeは、これらのパッケージが「DevOpsを多用する組織」や自動化されたCI/CDパイプラインを持つチームで働く開発者を狙ったものであると主張しています。
標的には以下が含まれます:
- シークレットやトークンを取得できるビルドパイプライン
- 認証情報や鍵の窃取、または横展開の機会を可能にする開発者のマシン
- 盗まれた認証情報を使ってより広範なインフラにアクセスできるクラウドベースのデプロイメント
「単一の開発者マシンやビルドエージェントが侵害された場合の潜在的な影響は深刻です」とSonatypeは警告しています。
「それは知的財産の窃盗、本番ソフトウェアへのバックドアの挿入、企業ネットワーク内での横展開、そして重大な評判の損失につながりかねません。」
レポートは、コマンド&コントロール(C2)インフラ、ペイロードの挙動、過去の同グループのキャンペーンから観測されたキャンペーンのタイミングにより、この作戦をラザルスのものと断定しています。
翻訳元: https://www.infosecurity-magazine.com/news/200-malicious-open-source-lazarus/