TokyoBlackHatNews

gbhackers.com 4分で読了

ボイド・ドッカエビ ハッカーが偽りの就職面接を通じてマルウェアを拡散

ボイド・ドッカエビ(別名ファモース・チョルリマ)は、偽りの就職面接を大規模なマルウェア配布キャンペーンに変えることで、開発者をターゲットにしたサイバー活動を拡大しています。

キャンペーンは、暗号通貨またはAI企業の採用担当者になりすました攻撃者から始まります。開発者はGitHubやGitLabなどのプラットフォームから一見合法的なリポジトリをクローンして実行することを要求するコーディングテストを完了するよう招待されます。

これらのリポジトリには、悪意のあるVisual Studio Code(VS Code)設定、特に隠された.vscode/tasks.jsonファイルが含まれています。プロジェクトが開かれ、開発者がワークスペースを信頼すると、タスクが自動的に実行され、バックグラウンドでマルウェアがダウンロードされ実行されます。

最近の分析では、グループは従来のソーシャルエンジニアリングから進化し、信頼された開発ワークフローとコードリポジトリを通じて拡散する自己増殖型のサプライチェーン攻撃へと進化したことを示しています。

コードを通じたワーム様の拡散

最初の侵害の後に停止する典型的な攻撃とは異なり、ボイド・ドッカエビは感染した開発者を使用してマルウェアをさらに拡散します。開発者が感染したコードをリポジトリにコミットすると、悪意のある.vscode設定がそれとともに移動します。

このフォルダはしばしば隠されており、.gitignoreで除外されていないため、リポジトリをクローンした他の開発者は無意識のうちに同じ感染をトリガーできます。これにより、各新しい被害者が配布者になるワーム様のチェーンリアクションが作成されます。

例:面接中に感染した開発者は、コードを共有プロジェクトにプッシュします。チームメイトは後でリポジトリをクローンし、VS Codeで開き、無意識のうちに同じ悪意のあるタスクを実行してサイクルを継続します。

Image

攻撃者はまた、直接コード注入を伴う第2の方法を使用します。開発者のマシンへのアクセスを取得した後、彼らは難読化されたJavaScriptをeslintやtailwindの設定ファイルなど、一般的に無視される設定ファイルに挿入します。

この活動を隠すために、Gitの履歴を書き直すコミット改ざんツールを使用します。元のタイムスタンプ、作成者、コミットメッセージを保持し、悪意のある変更を合法的に見せかけます。セキュリティチェックは強制コミットと無効化された検証を使用してバイパスされます。

大規模な影響

–no-verifyフラグはプレコミットフックとCI/CDセキュリティチェックをバイパスするために使用されます。修正後、システムクロックが復元され、書き直されたコミットがリモートブランチに強制的にプッシュされます。

Image

2026年3月までに、研究者は以下を特定しました:

  • 750以上の感染したリポジトリ。
  • 500以上の悪意のあるVS Codeタスク設定。
  • コミット改ざんツールを含む少なくとも101のリポジトリ。

特に、DataStaxやNeutralinojs などの組織に関連するリポジトリが侵害されていることが発見され、エンタープライズとオープンソースエコシステムへのリスクが強調されています。1つのケースでは、人気のあるプロジェクトが感染した後、数千の下流ユーザーが露出しました。

スキャンは、global[‘!’]初期化マーカーで識別される難読化されたJavaScriptローダーを含む750以上の一意のリポジトリを特定しました。

Image

ボイド・ドッカエビは、TronやAptosやBinance Smart Chainなどのブロックチェーンネットワークをマルウェアペイロードのホストおよび配信に使用します。インフラストラクチャは分散型で不変であるため、このアプローチではテイクダウンが困難になります。

DEV#POPPERリモートアクセストロイの亜種を含むマルウェアは、ブロックチェーントランザクションから暗号化されたペイロードを取得し、復号化してから感染したシステム上で実行します。これにより、攻撃者は元のコードを変更せずにペイロードを動的に更新できます。

攻撃はツール、ワークフロー、コラボレーションへの信頼を通じて拡散します。

セキュリティチームと開発者は、以下によってリスクを軽減できます:

  • コーディングテスト用の隔離された環境を使用します。
  • .vscode/を.gitignoreに追加します。
  • 署名付きコミットを強制し、強制プッシュをブロックします。
  • global[‘!’]などの疑わしいマーカーについてリポジトリを監査します。
  • 異常なブロックチェーンまたはコマンド・アンド・コントロールトラフィックを監視します。

ボイド・ドッカエビのキャンペーンは、単一の侵害された開発者がソフトウェアエコシステム全体で広範な感染をトリガーする方法を示し、開発者環境を最新のサイバーセキュリティ防御の重要な部分にしています。

翻訳元: https://gbhackers.com/void-dokkaebi-hackers/

ソース: gbhackers.com
#GitHub #Visual Studio Code #Void Dokkaebi #オープンソース #サイバー脅威 #サプライチェーン攻撃 #ブロックチェーン #マルウェア #リモートアクセストロイ #開発者

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚