北朝鮮のハッカーグループLazarusによる新たなマルウェアキャンペーンが開始されました。「Graphalgo」と名付けられたこの攻撃は、主にJavaScriptやPythonを扱う開発者をターゲットにしています。
このキャンペーンは、暗号通貨関連の求人と結びついた悪意のあるコーディングタスクを使用して、開発者を騙して有害なソフトウェアをダウンロードさせます。
2025年5月から活動しており、GitHub、npm、PyPIといった信頼されているサービスを通じて複数の欺瞞層を採用しているため、被害者が検出することが困難になっています。
Graphalgoキャンペーンの中核は、「Veltrix Capital」という架空の会社を中心に展開されています。この会社はブロックチェーンと暗号通貨取引に関わっていると主張しています。
しかし、2025年4月に作成された同社のウェブサイトは、経営陣や連絡先の詳細について具体的な情報を提供しておらず、これは明らかな危険信号です。Lazarus Groupはこの会社を利用して、特にDevOpsやその他の技術職向けの偽の求人を作成しました。
これらの求人はLinkedIn、Reddit、Facebookなどのプラットフォーム上で拡散され、潜在的な候補者はスキルをテストするために設計されたコーディングタスクでアプローチされました。
これらの求人タスクは一見正当に見えますが、GitHubやnpm上のリポジトリにリンクされていることがよくあります。例えば、開発者はGitHub上でホストされているプロジェクトに取り組むよう求められ、bigmathutilsやgraphnetworkxといった一見無害なパッケージが含まれていました。
これらのパッケージは当初安全でしたが、かなりの数の開発者がダウンロードした後、攻撃者は悪意のある更新をリリースし、密かに被害者のシステムにマルウェアをインストールしました。
Graphalgoキャンペーンが特に効果的である理由は、そのモジュラー構造にあります。単一の障害点に依存する代わりに、脅威アクターは架空の会社、求人、オープンソースパッケージなど、複数の欺瞞層を使用しています。
これらの層により、Lazarusは一部が露呈または停止された場合でもキャンペーンを継続することができます。
マルウェアは、npm(JavaScript用)やPyPI(Python用)などの公開リポジトリを通じて配布されます。
攻撃者は、graphlibやnetworkxといった人気のあるパッケージ名を使用して、悪意のあるファイルを正当なものに見せかけます。これらの依存関係は、求人タスクのリポジトリにバンドルされていることが多く、ダウンロードされると被害者のマシン上でマルウェアを実行しました。
興味深いことに、攻撃者は忍耐の戦略を使用しました。例えば、npm上のbigmathutilsパッケージは、悪意のあるバージョンが公開される前に10,000回以上ダウンロードされていました。
この戦略により、攻撃が明らかになる前にマルウェアがすでに広く拡散していることを確実にしました。
攻撃の最終的なペイロードは、攻撃者が感染したシステムを制御し、データを流出させ、さらには暗号通貨ウォレットのアクティビティを監視できるようにするリモートアクセストロイの木馬(RAT)でした。
RATはコマンド&コントロールサーバーと通信し、感染したシステム上で任意のコマンドを実行できました。
このキャンペーンは、国家支援のサイバー攻撃の洗練度が増していることを浮き彫りにしています。Lazarus Groupはオープンソースエコシステムの開発者を一貫してターゲットにしており、この新しいキャンペーンは信頼できないソースからソフトウェアをダウンロードすることに関連するリスクをあらためて思い起こさせます。
偽の求人と暗号通貨に焦点を当てたストーリーの使用は、サイバー攻撃における一般的な戦術であり、開発者がこのようなソーシャルエンジニアリングの手法に引っかからないよう警戒を怠らないことが極めて重要です。
継続的な調査の一環として、ReversingLabsは状況を監視しており、引き続き最新情報を提供していきます。
開発者は、特にサードパーティのリポジトリからコーディングテストをダウンロードまたは実行する必要がある、一方的な求人には注意するよう促されています。
翻訳元: https://cyberpress.org/lazarus-group-distributes-graphalgo-malwar/