北朝鮮の脅威アクターは、「Contagious Interview」と呼ばれる高度なソーシャルエンジニアリングキャンペーンを通じてソフトウェア開発者への標的化を強化しており、二層構造のマルウェアを埋め込んだ悪意あるコードリポジトリを悪用している。
セキュリティ研究者は、VS Codeのタスク乗っ取りとnpmのアプリケーションフックを用いて開発者環境を侵害する悪意あるBitbucketリポジトリ(0xmvptechlab/ctrading)のフォレンジック分析を受け、本キャンペーンを高い確度でDPRK(北朝鮮)系の脅威アクターによるものと帰属させた。
この攻撃は、最大の効果を狙ってNode.jsとPythonのコンポーネントを組み合わせた二段階のペイロード構造を採用している。Node.js層は感染直後に実行され、認証情報の窃取、キーストロークの記録、そして隠し.npmディレクトリ内に秘匿されたリモートアクセス型トロイの木馬(RAT)を確立する。
初期アクセスが確保されると、Node.jsのコントローラはPythonのステージャーをダウンロードし、長期的な監視、暗号資産ウォレットの窃取、暗号資産マイニング作業のための二次インフラを展開する。
このアーキテクチャ設計により、システム再起動やユーザーセッションをまたいだ永続性を確保しつつ、攻撃者にとっての運用上の柔軟性も維持される。
感染経路は通常、LinkedInを介して「持ち帰り」形式の技術課題として配布される悪意あるリポジトリであり、あるいはセキュリティ研究者や企業の開発者を標的とする場合にはコードレビュー依頼として提示される。
脅威アクターは、フォロワー数の多い侵害済みまたは捏造されたプロフィールを利用して、「Meta2140」のような既存組織の採用担当者や事業開発担当者になりすますことでなりすましを行い、偽の正当性を作り出す。
注目すべき点として、被害者はコードを実行せずにリポジトリをクローンしただけで感染した。VS Codeの「Trusted Workspace(信頼されたワークスペース)」機能が、コード確認中に悪意あるタスクを自動的に起動した。
研究者は過去1か月の間に3人の別々の被害者を記録しており、いずれも同一のソーシャルエンジニアリング手口で接触され、重大な金銭的損失を被った。
悪意あるリポジトリのGitHubコミット履歴は一貫してKST+9(韓国標準時)のタイムゾーン設定を示しており、帰属判断を補強した。
コミットデータにより、攻撃者は「Pietro」(GitHub: pietroETH)であると特定され、関連するメールアドレスとして[email protected]、[email protected]、[email protected]が挙げられた。
このアイデンティティのクラスターは、詐欺プロジェクト「Ultra-X」を開発していた過去のDPRK系ITワーカーキャンペーンと結び付いており、2024年初頭以降に活動している既知のDPRK脅威アクターへの中〜高い確度の帰属を可能にしている。
PythonベースのマルウェアはInvisibleFerretの亜種であり、Node.js層はBeaverTailを使用している。いずれもDPRKでよく知られたツールである。
Radar Securityの研究者は、すべてのファイルシステム上の痕跡を文書化し、検知手法を提供した。しかし、永続化モジュールはWindows以外のプラットフォームでは動作不良のままであり、Windows環境外での影響は限定的である。
組織は、この持続的脅威に対抗するため、直ちにVS Codeのハードニング制御を実装し、自動タスク実行を無効化し、ワークスペースの信頼性検証を徹底すべきである。
翻訳元: https://cyberpress.org/north-korean-hackers-contagious-interview-campaign/