出典:Ian Cowe via Alamy Stock Photo
北朝鮮の脅威アクターによる悪名高い架空求人作戦は、侵害されたデベロッパープロジェクトを利用して他のコードリポジトリに感染し、ソフトウェアサプライチェーン全体に野火のように広がる自己増殖マシンへと進化しています。
数年間にわたって追跡されている「感染性面接」作戦は、デベロッパーエコシステムを通じて組織を侵害することを目的とした単一目標のソーシャルエンジニアリング攻撃からしっかりと脱却し、侵害されたデベロッパーのリポジトリ自体がリモートアクセストロージャン(RAT)やその他のマルウェアを広めるワーム様の感染ベクトルとなる重大なサプライチェーン脅威となりました。これはTrend Microが今週発表したレポートによるものです。
キャンペーンの最新の形態は、北朝鮮の脅威アクターによるもので、Trend Microがボイドドッカビ(別名ファモスチョルリマ)として追跡しており、「暗号通貨ウォレットの認証情報、署名キー、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインおよび本番インフラストラクチャへのアクセス」をターゲットにしたデベロッパーへの架空の求人ルアーを使用しています。Trend Microのシニア脅威研究者Lucas Silvaはレポートで次のように述べています。
攻撃者は、悪意のあるVisual Studio(VS)Codeタスクと注入されたコードを使用して、通常の開発活動中にマルウェアを実行し、ソフトウェアサプライチェーン全体にマルウェアを広げたり、暗号通貨ウォレットやその他のシークレットへの認証情報を盗んだりします。レポートによると、「侵害されたコードが組織またはオープンソースの人気のあるリポジトリに到達した場合、貢献者、フォーク、およびダウンストリームプロジェクトも暴露される可能性があります」とのことです。
さらに、このキャンペーンはペイロードステージングのためにブロックチェーンインフラストラクチャ(Tron、Aptos、バイナンススマートチェーンを含む)を使用しており、これは配信インフラストラクチャの一部を従来のセキュリティ排除を超えています。
最新の感染波
ボイドドッカビは、リクルーターに扮することで、暗号通貨およびAI企業からのデベロッパーに、架空の求人面接中のテストプロセスの一部としてコードリポジトリのクローン作成と実行を促すなど、ソフトウェアデベロッパーを体系的にターゲットにしています。
これらの進行中のキャンペーンは、求人面接中に見通し候補者に技術テストを提出させるために組織で使用される一般的な実践に対して、デベロッパーが持つ信頼を悪用しています。セキュリティ企業Huntressのスタッフ戦術対応アナリスト、Joshua Allmanは、Dark Readingに語っています。
「彼らは仕事を探している人々をターゲットにしているため、攻撃者はより関与するターゲットを持つ可能性があり、ターゲットを非常に正確に設定できます」と彼は言います。彼らが人気のあるパッケージ/プロジェクトの侵害に成功した場合、数千人のダウンストリーム影響につながる可能性があると、Allmanは指摘しています。
これを知っていることで、北朝鮮の攻撃者は少なくとも2023年からこの攻撃ベクトルを悪用してきており、戦術を進化させて最初のターゲットをはるかに超えています。3月だけで、Trend Microは750以上の感染したコードリポジトリ、500以上の悪意のあるVSコードタスク構成、およびボイドドッカビが使用するコミット改ざんツールの101のインスタンスを特定しました。データ管理会社DataStaxやJavaアプリケーションプロバイダーNeutralinojs などの組織に属するリポジトリも感染マーカーを持っていることが判明しました。
さらに、感染したVSコード伝播は、12月の同様の感染性面接スタイル攻撃の発見に続いており、これは油井で動作する悪意のあるnpmパッケージファクトリーを作成しました。
「ワーム様の行動」
VSコードの初期感染チェーンは、被害者がコードリポジトリのクローンを作成するよう求められる捏造された求人面接から始まります。このリポジトリはGitHub、GitLab、またはBitbucketでホストされており、正当に見えて、技術評価の一部としてレビューまたは実行します。
配信メカニズムはVSコードのワークスペースタスクシステムを悪用しているため、被害者がVSコードでプロジェクトを開き、ワークスペースのトラストプロンプトを受け入れると、それ以上の相互作用なしにタスクが実行されます。Microsoftはこの記事を通じてVSコードのこの悪用についてのコメントを求めるDark Readingへのメール要求にすぐには応答しませんでした。
「場合によっては、タスクはリモートURLからバックドアを直接取得します」とTrend MicroのSilvaは述べています。「他の場合、それは悪意のあるペイロードを含むリポジトリにバンドルされたフォントまたは画像ファイルを起動し、同じ結果を達成する異なる実行バリアントです。」
この時点で、攻撃はターゲットデベロッパーのエコシステムを侵害します。ただし、「ワーム様の行動」は、被害者がコードをGitHubにコミットするまで開始されないと彼は指摘しました。
これが発生すると、.vscodefolder がデフォルトで非表示になり、悪意のあるコードが「効果的なトロイの木馬」となり、その後、リポジトリをクローンしてVSCodeで開くデベロッパーに信頼プロンプトを送信します。受け入れると、サイクルが繰り返されて「自己増殖の感染チェーン」が作成されます。Silvaは述べています。
「侵害されたデベロッパーはそれぞれ新しいリポジトリに感染ベクトルをシードし、新しい被害者はそれぞれが潜在的な配信者になります」とSilvaは述べました。
ソフトウェアデベロッパーに警告
幸いなことに、エンタープライズ開発チームと求職プロセスにあるデベロッパーがこのようなキャンペーンによって侵害されるのを避け、うっかりダウンストリーム伝播を通じてサプライチェーンに感染させるのを避けるための多くの方法があります。
組織は、すべての開発プロジェクトが依存関係管理のロックファイルを使用し、更新の整合性を検証し、常に「何かが隙間をすり抜ける場合のためのアクティブなエンドポイント保護」を備えていることを確認する必要があります。Allmanは、Dark Readingに語っています。
見込みのある求職者はまた、見込みのある雇用者から提示されたものを「インストールする前に二度考える」べきであり、日常的なコーディングタスクが提示された場合、「認証情報/トークン/シークレットへのアクセス権を持たない別の仮想マシン/コンテナで実行する」べきです。
Trend Microはまた、開発者に侵害されないようにするための推奨事項を行い、採用ワークフロー中でも外部リポジトリを信頼できないものとして扱う。彼らが作業しているリポジトリへの許可されていない変更と異常なコミットを検出する。そして開発プロセス中に権限を制限し、コード署名検証を強制することを含みます。
