- ラザログループがOperation Dream Jobキャンペーンを進化させてWeb3開発者をターゲットに
- 新しい「Graphalgo」亜種はPyPI/npm上の正規のベアボーンプロジェクトで悪意のある依存関係を使用
- ReversingLabsが約200個の悪意のあるパッケージを発見、graphlibなどのライブラリになりすまし、暗号資産を盗む目的
悪名高いラザロギャングはOperation Dream Jobキャンペーンを進化させ、さらに多くのソフトウェア開発者をターゲットにし、さらに多くの暗号資産を盗もうとしています。
セキュリティ研究者ReversingLabsは、2025年5月から始まったキャンペーンの変化を確認しており、「Graphalgo」と名付けられており、ラザロが正規のベアボーンプロジェクトを取得し、攻撃で使用する悪意のある依存関係を追加するというものです。
Operation Dream Jobに不慣れな方のために説明すると、これは北朝鮮政府支援のハッカーによって作成された継続的なキャンペーンです。彼らはLinkedInおよび他のプラットフォームで偽の求人広告を作成し、主にWeb3(ブロックチェーン)業界で働くソフトウェア開発者に魅力的な職を提供しています。
コードネーム Graphalgo
「採用プロセス」中に、候補者にいくつかのテスト課題を実行するよう要求し、被害者は常に悪意のあるコードをダウンロードして実行することになります。そのコードは異なる場合がありますが、目的は常に暗号ウォレットを空にすることです。スタンドアロンアプリ、ブラウザアドオン、または人気のある暗号交換アカウント上のいずれであろうと。
「このようなジョブタスクリポジトリを作成するのは簡単です。脅威アクターは正規のベアボーンプロジェクトを取得し、悪意のある依存関係を修正するだけで、ターゲットに提供する準備ができます。」と研究者は述べています。これらのプロジェクトのほとんどはPyPIやnpmなどの正規プラットフォームでホストされており、被害者が攻撃を発見するのがより難しくなっています。
これまでのところ、ReversingLabsはほぼ200個の悪意のあるパッケージを発見しています。
リフレッシュはGraphalgoと名付けられました。なぜなら、すべての悪意のあるパッケージの名前に「graph」というプレフィックスが付いており、しばしばgraphlib などの正規ライブラリになりすましていたからです。より最近では、「graph」は「big」に置き換わりましたが、研究者はまだこれらのパッケージに伴うリクルーティング部分を見つけていません。
