Microsoft Visual Studio Codeのタスクファイルを武器化し、ソフトウェア開発者を標的に高度なマルウェアを配布する「Contagious Interview(感染性面接)」キャンペーンの危険な新たな亜種が確認されました。
このキャンペーンは100日以上前に始まり、ここ数週間で急激に激化しており、11種類の異なる攻撃バリアントにまたがって17件の悪意あるGitHubリポジトリが特定されています。
Lazarus Groupに関連する北朝鮮の脅威アクターは、正当な求人募集プロセスを装った巧妙なサプライチェーン攻撃を通じて、ソフトウェアエンジニアへの継続的な攻撃を続けています。
最新の「Fake Font(偽フォント)」キャンペーンは、VS Codeのタスク自動化機能を悪用して、Webフォントを装ったファイル内に隠されたJavaScriptマルウェアを実行し、最終的に暗号資産の窃取と永続的なシステムアクセスを目的として設計されたInvisibleFerretのPythonバックドアを展開します。
OpenSourceMalwareの調査チームは、悪意あるMicrosoft VS Codeを使用する「Contagious Interview」キャンペーンの新たなバリエーションを特定しました。
攻撃手法
攻撃はLinkedIn上でのソーシャルエンジニアリングから始まり、暗号資産やフィンテック企業を装った偽のリクルーターが、魅力的な求人案件を提示して標的に接触します。
そのリポジトリは正規のWebアプリケーションプロジェクトのように見え、Reactのフロントエンド、Node.jsのバックエンド、適切なREADME、さらにはCI/CD設定まで備えています。
被害者は、一見すると通常のコーディング課題として、Reactフロントエンド、Node.jsバックエンド、そしてプロフェッショナルなドキュメントを備えた、正当らしく見えるWebアプリケーションプロジェクトを含むGitHubリポジトリを受け取ります。
悪意あるペイロードは、VS Codeがワークフロー自動化に使用する .vscode/tasks.json ファイル内に隠されています。
タスクは “runOn”: “folderOpen” および “reveal”: “never” パラメータで設定されており、開発者がプロジェクトを開いて「Trust Workspace」をクリックすると、サイレントに実行されます。
コマンド node public/fonts/fa-brands-regular.woff2 はフォントファイルのように見えるものを起動しますが、実際には強力に難読化されたJavaScriptマルウェアです。
OSMの調査は、コミュニティから提出されたリポジトリ(github.com/Brio97/Assignment)から始まり、偽リクルーター詐欺によって侵害されたユーザーの存在が明らかになりました。
悪意ある「フォント」ファイルの解析により、Base91エンコーディングを使用したJavaScriptソースコードが露見しました。これは高度なバイナリ-to-ASCIIエンコード方式で、Base64のような一般的形式に最適化されたセキュリティツールによる検知を回避します。
BeaverTailとして知られる第1段階ローダーは、 ~/.npm/ 内に隠しディレクトリを作成し、axiosやrequestを含むnpmパッケージをインストールした後、eth-mainnet-alchemy.comのC2(コマンド&コントロール)サーバーに接続します。これは正規のAlchemy Ethereum APIサービスを模倣したタイポスクワットドメインです。
2026年1月16日に登録されたこの偽ドメインは、3層のBase91難読化を特徴とする96KBのJavaScriptペイロードを配布します。
InvisibleFerretバックドア
最終ペイロードはInvisibleFerretで、Pythonベースのバックドアです。13種類以上の暗号資産ウォレット拡張機能(MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Exodus、Ledger Live)の窃取、ブラウザ認証情報の収集、キーロギング、そして暗号資産アドレスを攻撃者管理のウォレットに置き換えるクリップボードハイジャックなど、広範な機能を備えています。
このマルウェアはWindows、macOS、Linuxの各システムで永続化を確立し、再起動後も生存して、WebSocket接続を介してリモートアクセスを維持します。
完全な感染チェーンは約40秒で実行され、被害者がコーディング課題の指示を読み終える前に完了してしまうことも少なくありません。
多くの侵害された開発者は、フォレンジック分析によって攻撃ベクターが明らかになるまで、VS Codeリポジトリの組み合わせが窃取を可能にしたことに気づかないままです。
OSMは特定された17件のリポジトリのうち14件の解析に成功し、1,489バイトから147,449バイトまで(サイズ差99倍)に及ぶ11種類のユニークなペイロード亜種を発見しました。
同一のペイロードを共有しているのは3組のリポジトリペアのみであり、偽フォント手法を採用する複数の独立したLazarus Groupチームの存在、または作戦上のセキュリティと標的別カスタマイズを最大化するための攻撃インフラの意図的な多様化を示唆しています。
OpenSourceMalwareは、このキャンペーンを#fake-fontタグの下で追跡しており、関連する侵害指標(IOC)はopensourcemalware.comで公開されています。
このキャンペーンは、2023年以降継続して活動している「Contagious Interview」作戦の第3のサブキャンペーンにあたり、ソフトウェア開発コミュニティが直面する脅威が持続的かつ進化していることを浮き彫りにしています。
翻訳元: https://gbhackers.com/dprk-interview-campaign/
