- Lazarusグループの「Contagious Interview」キャンペーンが、悪意あるGitリポジトリを介してVisual Studio Codeを悪用
- 攻撃者はmacOS上でJavaScriptペイロードを配布し、永続的なデータ収集とC2通信を可能に
- Jamfは、高度な脅威対策コントロールの有効化と、信頼できないリポジトリへの注意を呼びかけ
悪名高いContagious Interviewキャンペーンの一環として、北朝鮮の脅威アクターが攻撃において正規のMicrosoft Visual Studio Codeを悪用している様子が確認されました。
Contagious Interviewは、Lazarusグループ(および他の国家支援型の北朝鮮アクター)が偽の求人を作成し、西側諸国のソフトウェア開発者やブロックチェーン開発者を面接に招くハッキングキャンペーンです。
面接プロセスの中で、被害者をだまして端末にマルウェアを展開させ、攻撃者が被害者のコンピューター、さらには被害者の現勤務先のネットワークへも制限なくアクセスできるようにします。
安全を保つ方法
このキャンペーンは非常に成功しており、近年最大級の暗号資産(仮想通貨)強奪事件のいくつかの原因ともされています。
新たなレポートで、Jamfのセキュリティ研究者は、「キャンペーンの初期段階で用いられる手法の進化」について詳述しました。攻撃者はまず悪意あるGitリポジトリを作成し、GitHubやGitLabといったプラットフォーム上でホストすると述べています。
その後、「面接」プロセスの中で、被害者をだましてMicrosoft Visual Studio Codeを使ってそのリポジトリをクローンし、開かせます。ツールは被害者に対してリポジトリ作成者を信頼するかどうかを促し、信頼してしまうと、アプリがtasks.json設定ファイルを自動的に処理し、埋め込まれた任意のコマンドを起動します。
macOSでは、これらのコマンドがバックグラウンドのシェルを使用してJavaScriptペイロードをリモートから取得(多くの場合Vercelのようなプラットフォームから)し、それをNode.jsランタイムへパイプします。
その後JavaScriptペイロードが実行され、ホスト情報(ホスト名、MACアドレス、OSの詳細)を収集し、リモートのコマンド&コントロール(C2)サーバーと通信する永続的なループを確立します。最後に、バックドアは定期的にC2サーバーへpingを送り、システムデータを送信するとともに、追加の悪意あるJavaScript命令を受け取ります。
Jamfは「本調査で説明した手法から保護された状態を維持するため、Jamf for MacでThreat PreventionおよびAdvanced Threat Controlsが有効化され、ブロックモードに設定されていることをお客様に強く推奨します」と警告しました。
さらに「開発者は、サードパーティのリポジトリを扱う際には引き続き注意すべきであり、とりわけ直接共有されたものや、見慣れないソースに由来するものには注意が必要です。Visual Studio Codeでリポジトリを信頼済みとしてマークする前に、その内容を確認することが重要です」と付け加えています。
翻訳元: https://www.techradar.com/pro/security/north-korean-hackers-target-microsoft-virtual-studio-code
