TokyoBlackHatNews

darkreading.com 4分で読了

「Contagious Interview」攻撃、VS Code経由でバックドアを配布するように

スマートフォン上の求人検索アプリ

出典:Shutterstock(Stokkete)

Contagious Interviewキャンペーンの背後にいる北朝鮮の脅威アクターは、Microsoft Visual Studio Codeを利用して、これまで確認されていなかったバックドアを配布する新たな仕組みを用いている。このバックドアは、開発者のシステム上でリモートコード実行を可能にする。

Jamf Threat Labsは今週初めに最新の感染手法を発見し、レポートで詳細を説明した。同社はこれを、少なくとも2023年後半以降、偽の求人募集スキームを通じてソフトウェア開発者などを標的にしてきた継続中のキャンペーンにおける、最新の進化形だとしている。 

開発者のワークフローに溶け込む

従来の亜種と同様に、新しい配布メカニズムは正当な開発者ワークフローにシームレスに溶け込むよう設計されている。攻撃チェーンは、標的に対しGitHubまたはGitLab上でホストされた悪意あるリポジトリをクローンして開くよう求めるところから始まる。これは通常、採用プロセスに関連する技術課題やコードレビュー演習の一環として提示される。

開発者がこれらのプロジェクトのいずれかをVisual Studio Codeで開くと、アプリケーションはリポジトリの作者を信頼するかどうかを促す。被害者が信頼を付与すると、Visual Studio Codeはプロジェクトに埋め込まれた悪意ある設定ファイルを自動的に処理し、追加のユーザー操作なしに被害者のシステム上で任意のコマンドが実行される結果となる。

macOSを実行するシステムで悪意あるプロジェクトを開いた被害者は、バックグラウンドで目に見えない形で動作する隠しコマンドを起動してしまい、その後Node.jsを用いてJavaScriptファイルをダウンロードし、直ちに実行する。Jamfによれば、このコードはVisual Studio Codeを閉じても動作し続け、目に見える出力も生成しないため、ユーザーが活動に気づきにくいという。

Dark Readingへのコメントで、Jamf Threat LabsのディレクターであるJaron Bradley氏は、これらのリポジトリに悪意あるリポジトリをホストする手法が、Contagious Interviewキャンペーンの運用者にとってかなり一般的になっているようだと述べた。「このケースでは、Jamfは削除されるまで少なくとも2週間、そのリポジトリがオンラインにあるのを確認した」と同氏は言い、こうしたリポジトリとしては標準的だとしている。

新たなペイロード

Jamfが、この新しい手法で攻撃者が配布している特定のペイロードを確認したのは今回が初めてだ。「完全にJavaScriptで書かれている点が異なる」とBradley氏は指摘する。攻撃者は被害者を誘い込むためにさまざまなソーシャルエンジニアリング手法を用いており、このケースでは特にNode開発にすでに慣れている個人に焦点を当てているようだと同氏は付け加えた。

Contagious Interviewは、セキュリティ研究者が高い確度で北朝鮮の脅威アクターによるものと帰属しているデータ窃取キャンペーンである。従来型のフィッシングとは異なり、Contagious Interviewの運用者はLinkedInや開発者向けプラットフォーム上でリクルーターや求職者になりすまし、正当なものに見える採用上のやり取りを利用して被害者のシステムにマルウェアを送り込んできた。

このキャンペーンは主にソフトウェア開発者やITプロフェッショナルを標的としており、特にブロックチェーン暗号資産、および新興技術といった高価値領域が狙われ、macOSユーザーが好んで標的にされている。グループの動機は、スパイ活動、初期アクセスの仲介、金銭的利益の混在であるように見える。Contagious Interviewを追跡するベンダーは、その運用者が「Ferret」や「BeaverTail」といった名称の新しいマルウェアファミリー、新たなホスティング基盤、さらにはディープフェイク対応の面接に至るまで、常に手口を進化させていると説明している。

「この脅威アクターは主に、暗号資産およびブロックチェーンプロジェクトに関与する開発者のシステムを標的にしている」とBradely氏は言う。「彼らは通常、認証情報やその他の機微情報を迅速に抽出するインフォスティーラーを展開し、攻撃者が開発者になりすましたり、関連システムへ不正アクセスしたりできるようにする」

Jamfが開発者に推奨しているのは、サードパーティのリポジトリ、とりわけ第三者が関与するものとやり取りする際には注意を払うことだ。開発者はまた、Visual Studio Codeで信頼済みとしてマークする前に、リポジトリの内容を確認する必要がある。「同様に」とJfrogはレポートで述べている。「『npm install』は、精査済みのプロジェクトでのみ実行すべきであり、意図せず悪意あるコードを実行してしまうことを避けるため、package.jsonファイル、インストールスクリプト、タスク設定ファイルに特に注意を払うべきだ」

翻訳元: https://www.darkreading.com/cyber-risk/contagious-interview-attack-delivers-backdoor

ソース: darkreading.com
#Contagious Interview #GitHub・GitLab悪用 #macOSマルウェア #Node.js/JavaScript攻撃 #Visual Studio Code #ソーシャルエンジニアリング #バックドア #リモートコード実行(RCE) #北朝鮮ハッカー #採用詐欺(偽求人)

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開