北朝鮮に関連する脅威行為者Void Dokkaebiは、著名なChollima(チョルマ)としても追跡されており、偽りの採用面接を自己拡散するマルウェア作戦に変える積極的なキャンペーンを実行しています。
このグループは暗号資産およびAI企業の採用担当者になりすまし、ソフトウェア開発者を誘い、架空の技術評価の一部としてコードリポジトリをクローンして実行させています。
開発者が誘いに乗ると、攻撃はそこで止まりません。彼ら自身のリポジトリが、次の波の標的への感染源となります。
キャンペーンを分析したTrend Microの研究者は、伝播モデルは従来の標的型攻撃というより、ワームに似ていると述べています。
侵害された各開発者は知らず知らずのうちに新しいリポジトリをマルウェアで汚染し、その後これらのリポジトリをクローンする開発者は誰もが同じリスクを負います。
脅威行為者は主に、暗号資産ウォレット認証情報、署名キー、およびCI/CDパイプラインインフラへのアクセス権を持つ開発者を標的にしており、これらを組織全体のネットワークへの重要な侵入経路にしています。
初期感染は、求職者がGitHub、GitLab、またはBitbucketでホストされているリポジトリをクローンして Visual Studio Codeで開くときに始まります。
リポジトリには、ワークスペースが開くときに自動的に実行される隠れた.vscode/tasks.jsonファイルが含まれています。
開発者がVS Codeのワークスペース信頼プロンプトを受け入れると、ほとんどの開発者が精査なく行う日常的なアクション、悪意あるコードが即座に実行され、それ以上の操作は不要です。
これが特に危険な理由は、.vscodeフォルダがほとんどのファイルエクスプローラではデフォルトで隠されており、よく.gitignoreファイルから除外されるためです。
侵害された開発者が後でGitHubに作業をコミットするときに、悪意ある設定ファイルが含まれます。
次にそのリポジトリをクローンする開発者は誰もが同じ信頼プロンプトと同じリスクに直面します。この受動的な伝播は、攻撃者の追加のアクションを必要としません。
並行して、Void Dokkaebiはより積極的な第2の方法を使用しています。侵害されたマシンでは、脅威行為者は大きく難読化されたJavaScriptを、postcss.config.mjs、tailwind.config.js、next.config.mjsなどの設定ファイルにリモートで注入します。
注入されたコードは空白を使用して画面の右端に移動させられ、カジュアルなコードレビュー中に見えなくされます。
実際の組織的被害者にはDataStaxとNeutralinojsが含まれており、攻撃は発見・修復されるまで3日間検出されませんでした。
このインフラストラクチャを通じて配信されるペイロードには、DEV#POPPER RATの変種が含まれており、同時マルチオペレータセッションをサポートするクロスプラットフォーム対応のNode.jsリモートアクセストロイで、WebSocket経由で通信し、CI/CD環境を特に検出・回避します。これは自動化されたパイプラインスキャンがそれを完全に見落とすことを意味します。
翻訳元: https://cyberpress.org/malware-in-coding-challenges/
