北朝鮮ハッカー、求人詐欺・クラウドアカウント侵害・マルウェアを用いて数百万ドル相当の暗号資産を窃取

2025年7月31日Ravie Lakshmanan暗号資産 / マルウェア

北朝鮮と関連する脅威アクターUNC4899が、LinkedInやTelegramを通じて従業員に接触し、2つの異なる組織を標的とした攻撃に関与しているとされています。

「ソフトウェア開発のフリーランス案件を装い、UNC4899はソーシャルエンジニアリング手法を駆使して、標的となった従業員に自身のワークステーション上で悪意のあるDockerコンテナを実行させることに成功しました」と、Googleのクラウド部門は2025年下半期のCloud Threat Horizons Report [PDF]で述べています。

UNC4899は、Jade Sleet、PUKCHONG、Slow Pisces、TraderTraitorなどの別名で追跡されている活動と重複しています。少なくとも2020年から活動しており、国家支援を受けたこのアクターは暗号資産およびブロックチェーン業界を標的としていることで知られています。

特に、このハッカーグループは、2022年3月のAxie Infinity（6億2500万ドル）、2024年5月のDMMビットコイン（3億800万ドル）、2025年2月のBybit（14億ドル）など、大規模な暗号資産強奪事件に関与したとされています。

また、その高度な手口を示す例として、JumpCloudのインフラを悪用し、暗号資産関連の下流顧客を標的としたと疑われる事例もあります。

DTEXによると、TraderTraitorは北朝鮮偵察総局第三局（または部門）に所属しており、平壌のハッカーグループの中でも暗号資産窃盗において最も多くの実績を持つとされています。

この脅威アクターによる攻撃は、求人を装った誘い文句や悪意のあるnpmパッケージのアップロードなどを活用し、標的企業の従業員に高収入の機会を持ちかけたり、GitHubプロジェクトへの協力を依頼することで、不正なnpmライブラリの実行へと誘導しています。

「TraderTraitorはクラウド中心およびクラウド隣接の攻撃対象領域に対して継続的な関心を示しており、最終的な目的はクラウドプラットフォームそのものではなく、その顧客企業を侵害することにある場合が多い」と、クラウドセキュリティ企業Wizは今週、TraderTraitorに関する詳細なレポートで述べています。

Google Cloudが観測した攻撃では、各組織のGoogle CloudおよびAmazon Web Services（AWS）環境が標的となり、GLASSCANNONと呼ばれるダウンローダーが導入され、その後PLOTTWISTやMAZEWIREといったバックドアが展開され、攻撃者が制御するサーバーとの接続が確立されます。

Google Cloud環境が関与したインシデントでは、脅威アクターが盗まれた認証情報を用いて匿名VPNサービス経由でGoogle Cloud CLIをリモート操作し、広範な偵察や認証情報窃取活動を行っていたことが判明しています。しかし、認証情報に多要素認証（MFA）が設定されていたため、攻撃は阻止されました。

「UNC4899は最終的に被害者アカウントがGoogle Cloudプロジェクトの管理者権限を持っていることを突き止め、MFA要件を無効化しました」とGoogleは述べています。「標的リソースへのアクセスに成功した後、直ちにMFAを再度有効化し、検知を回避しました。」

2番目の被害者のAWS環境を標的とした侵害も同様の手口で行われましたが、今回はAWS認証情報ファイルから取得した長期アクセスキーを用いてAWS CLI経由でリモート操作が行われました。

脅威アクターはアクセス制御の障壁により機密操作を実行できませんでしたが、Googleはユーザーのセッションクッキーが窃取された可能性を示す証拠を発見したと述べています。これらのクッキーはCloudFront構成やS3バケットの特定に利用されました。

UNC4899は「自身のアクセスに付与された管理者権限を利用し、既存のJavaScriptファイルを悪意のあるコードを含むものにアップロード・置換しました。これらは暗号資産機能を操作し、標的組織の暗号資産ウォレットでの取引を発生させるよう設計されていました」とGoogleは述べています。

いずれのケースでも、攻撃は脅威アクターによる数百万ドル相当の暗号資産の引き出しで終わったと、同社は付け加えています。

このような動きの中、Sonatypeは2025年1月から7月の間に、北朝鮮のLazarus Groupに起因する234種類のマルウェアnpmおよびPyPIパッケージを検知・ブロックしたと発表しました。これらのライブラリの一部は、Contagious Interviewと呼ばれる長期キャンペーンに関連する既知の認証情報窃取ツールBeaverTailをドロップするよう設定されています。

「これらのパッケージは人気の開発者ツールを模倣していますが、実際にはスパイウェアとして機能し、秘密情報の窃取、ホストのプロファイリング、重要インフラへの持続的なバックドアの設置を目的としています」と、ソフトウェアサプライチェーンセキュリティ企業は述べています。「2025年上半期の活動急増は戦略的な転換を示しており、Lazarusは現在、npmやPyPIといったオープンソースパッケージレジストリにマルウェアを直接埋め込む手法を急速に拡大しています。」