北朝鮮の脅威アクター集団PurpleBravoは、1年以上にわたり、Contagious Interviewと名付けられた高度かつ標的型の攻勢を組織的に展開してきた。このキャンペーンは、偽の採用プロセスを利用して、欧州、アジア、中東、中米の企業を攻撃する。Recorded Futureの研究者は、この作戦の目的に関連しているとみられるIPアドレス3,136件と、確認済みの企業被害者20社を特定した。被害は、人工知能、暗号資産、金融、ITサービス、マーケティング、そして ソフトウェアエンジニアリングなど、多岐にわたる分野に及ぶ。
侵入は2024年8月から2025年9月にかけて行われ、標的となったIPテレメトリの集中度が最も高かったのは南アジアと北米だった。影響を受けた組織は、ベルギー、ブルガリア、インド、イタリア、コスタリカ、オランダ、アラブ首長国連邦、パキスタン、ルーマニア、ベトナムに所在していた。アナリストは、複数の事例で悪性コードがワークステーション上で直接実行されており、単一ユーザーの侵害から組織全体に及ぶ脅威へと危険性が増大したと強調している。
感染の主要な経路の一つは、Visual Studio Codeプロジェクトの悪用だった。標的には、正規の開発プロジェクトを装った有害なファイルを含む技術課題が提示された。この戦術により、攻撃者はバックドアをインストールし、企業インフラ内に足場を確保できた。さらに調査では、PurpleBravoのメンバーが運用する偽のLinkedInプロフィールも明らかになった。これらの人物は、オデーサを拠点とする開発者やリクルーターを装い、複数のGitHubリポジトリを用いて悪性ペイロードを配布していた。
PurpleBravoの指揮系統は、異なるマルウェア系統に対して少なくとも2種類のコマンド&コントロール(C2)基盤を運用している。1つはBeaverTailと呼ばれるJavaScriptベースの情報窃取型マルウェアで、もう1つは、オープンソースプロジェクトHackBrowserDataから派生したGoベースのバックドアであるGolangGhostだ。これらのC2サーバーは17の異なるプロバイダーに分散しており、Astrill VPNサービスを介して管理され、中国に由来するIPアドレスを利用している。
同時に、Wagemoleとして知られる並行イニシアチブも確認されている。この手口では、北朝鮮の工作員が国籍を隠蔽して海外企業に就職する。直近の目的は異なるものの、両作戦はインフラと戦術において大きな重複がある。フォレンジック分析では、PurpleBravoに関連する単一のIPアドレスが、Wagemole関連の活動管理にも同時に使用されていた事例が記録されている。
PurpleBravoが悪用する根本的な脆弱性は、組織が外部委託先や応募者候補に置く本質的な信頼である。候補者が企業支給デバイス上で無自覚に実行してしまう「技術評価」を提供することで、攻撃者は、結果として生じる侵害が個人にとどまらず、組織全体を危険にさらすことを確実にする。これは、広範な顧客基盤を持つ企業にとって特に深刻なリスクとなり、より広いソフトウェア・サプライチェーンに重大な脆弱性を生み出す。
