北朝鮮の架空IT労働者の手口が暴露される

GitLabの研究により、北朝鮮の架空IT労働者詐欺の背後にある最新の手口が明らかになりました。

GitLabは昨年、北朝鮮に関連する131のアカウントを禁止しました。その大多数は、いわゆるContagious Interviewキャンペーンのリソースとして機能したJavaScriptリポジトリに関わるものでした。

ほとんどの場合、GitLabプロジェクトはコードリポジトリプラットフォーム外にホストされているBeaverTailやOttercookieなどのマルウェアペイロードの難読化ローダーとして機能していました。

Contagious Interview

Contagious Interviewキャンペーンは、北朝鮮の脅威行為者が採用担当者または採用マネージャーとして偽装し、ソフトウェア開発者を技術面接の名目で悪意のあるコードプロジェクトを実行させることを中心としています。

オペレーターはGitLabと対話する際に通常コンシューマーVPNを使用していましたが、時々専用の仮想プライベートサーバー（VPS）インフラストラクチャまたはラップトップファームを経由してアクセスをルーティングしていました。

GitLabは疑いのあるリポジトリを禁止することでこれらの操作を妨害しました。

機会主義的で幅広くターゲット化された

これらの疑いのあるコードサイロは、求職中のプログラマーをターゲットにする操作と架空のIT労働者操作に分かれた様々な違法プロジェクトで悪用されていました。

「当社の可視化に基づくと、雇用を求める個々の開発者をターゲットにするマルウェア操作が最も一般的です」とGitLabのシニア脅威インテリジェンスエンジニアであるオリバー・スミスはCSOに語りました。「脅威行為者はUS拠点の開発者とフィンテックセクターを好む傾向があるようですが、機会主義的で幅広くターゲット化しています。」

スミスは続けました：「架空のIT労働者操作の場合、脅威行為者は契約ソフトウェア開発者を求める小規模な組織で雇用を見つけることが一般的で、特にフリーランスプラットフォームを通じています。」

より大きな組織も、2022年に本格的に始まり2019年の早期から開始された継続的な詐欺の標的になっています。

進化する手口

詐欺師の手口は昨年、悪意のあるNPMパッケージマネージャー依存関係の使用、サンドボックス検出、および招待のみのプライベートプロジェクトへの依存の増加を通じて進化しました。

北朝鮮の行為者はまた、カスタム難読化ツールを開発するためのAI技術への依存を高め、合成アイデンティティの作成を自動化することで、規模を拡大してプロフェッショナルな接続と連絡先のリードを生成しました。GitLabは技術ブログポストで説明しています。

1人のIT労働者は、盗まれた米国の身分証明書のスキャンに自分の画像を追加することで、21の独自のペルソナをコントロールしていました。

禁止されたリポジトリの一部には、人事資料、パスポートのスキャン、複数の中国銀行での銀行記録、および構造化された四半期ごとのパフォーマンススプレッドシートが含まれていました。

架空のIT労働者営業所の内部

GitLabは、2022年第1四半期から2025年第3四半期の間に160万ドル以上を獲得した、北京に拠点を置く可能性のある北朝鮮のIT労働者セルの詳細な財務および人事記録を明らかにする1つのリポジトリについて説明しています。

北朝鮮国民の8人のセルは、偽の身分で偽装しながら、フリーランスのウェブおよびモバイルソフトウェア開発を通じて収益を獲得していました。

グループの独自の記録によると、収益は昨年減少しましたが、2025年第3四半期には1人あたり11,000ドル以上でした。

プライベートプロジェクトには、2020年付けのセルメンバーのパフォーマンスレビューも含まれていました。これらのパフォーマンスレビューには、メンバーの収益と技能開発についてのコメント、および物理的に同じ場所にいるチームの家事への貢献についての発言が含まれています。これには、洗濯、散髪、共有食品と飲料の購入が含まれています。また、「人間関係の価値と党の価値への準拠」の評価も含まれています。

別のプライベートコードリポジトリは、モスクワ中央から操作されている可能性がある北朝鮮の架空IT労働者によって悪用されていました。「脅威行為者は、より詳細なペルソナの小さなグループの育成に焦点を当て、フリーランス作業からフルタイムの雇用に進みました」とGitLabは述べています。

GitLabは、複数の朝鮮民主主義人民共和国（DPRK）チームが限定的な調整で並行して操作されているが、類似の手口を使用していると結論づけています。

信頼の武器化

Huntressのシニアセキュリティオペレーションマネージャーであるドレイ・アガは、マネージド検出と応答サービスプロバイダーが2025年と2026年初期を通じて類似の手口を観察していると述べました。

「北朝鮮の脅威行為者は、技術採用プロセスに固有の信頼を武器にし、技術評価の名目で悪意のあるペイロードを実行するように開発者を騙しています」とアガは述べました。「暗号資産や金融などの利益の多いセクターで高い権限を持つ開発者をターゲットにすることで、これらの行為者は伝統的なペリメータ防衛を効果的に迂回して、即座の足がかりを確立しています。」

朝鮮民主主義人民共和国（DPRK）の脅威行為者は、その操作をスケーリングするために生成AIを採用しています。

「マルウェア難読化を洗練させ、セキュリティ対策を回避するためのAIツールの使用から、合成ペルソナの作成の自動化まで、北朝鮮のグループはその手口を急速に近代化しています」とアガは述べました。「これは、AIが脅威行為者が説得力のある大規模な欺瞞を実行するためのハードルを積極的に低めていることを示しています。」

Silobreaker研究責任者のハンナ・バウムゲルトナーは、北朝鮮の架空IT労働者グループが展開した全体的な方法は広く類似のままですが、「過去1年間でAI使用の増加およびClickFixなどの他の感染方法の使用の増加が観察されている」と述べました。

「スキームの一部として悪用されているプラットフォームのタイプも拡大しているようであり、Visual Studio Codeも初期アクセスに頻繁に使用されています」とバウムゲルトナーは追加しました。

北朝鮮の架空IT労働者詐欺は、業界横断的な問題です。GitLabは、その研究中に詳細に記載された事例研究に関連する600以上の侵害指標を含む詳細な研究が、業界全体の防御者を支援することを望んでいます。

「当社のレポートが業界全体の防衛を強化し、これらの脅威行為者のタクティクスと操作の周囲により多くの透明性に貢献することを望んでいます」とGitLabのスミスは結論づけました。

北朝鮮の架空IT労働者詐欺中に使用される数多くの戦術の概要—そのような詐欺を阻止するためのアドバイスとともに—は、CSOによる問題に関するより早い特集で見つけることができます。