Source:https://thehackernews.com/2025/11/north-korean-hackers-turn-json-services.html
🛡 概要
北朝鮮系とされる「Contagious Interview」キャンペーンが、JSON Keeper・JSONsilo・npoint.io などのJSONストレージサービスを中継点として悪性ペイロードを配信する手口へ進化しました。LinkedIn等で開発者に近づき、GitHub/GitLab/Bitbucket上のデモ/課題プロジェクトをダウンロードさせ、内部の設定ファイルに隠したURLから次段階のマルウェアを取得します。正規プラットフォームを連鎖的に悪用して通常トラフィックに溶け込む、検知回避志向の手法です(CVSSは該当しないキャンペーン型の問題)。
🔍 技術詳細
NVISOの分析によれば、観測されたプロジェクトには「server/config/.config.env」が含まれ、ここにBase64でエンコードされた値が「APIキー」を装って格納されています。実際にはこれがJSONストレージ(例:JSON Keeper)のURLで、アクセス先に難読化された次段階ペイロードが保存されています。被害端末がそのJSONを取得・復号すると、JavaScriptマルウェア「BeaverTail」が実行され、機密情報の収集や後続コンポーネントの投下を行います。BeaverTailはPython製バックドア「InvisibleFerret」をドロップし、さらにPastebinから追加ペイロード「TsunamiKit」を取得する挙動が報告されています。ESETは2025年9月時点でTsunamiKitの使用や、Tropidoor・AkdoorTeaの投入も指摘しており、指紋収集・データ収集・追加ペイロード取得の機能が確認されています。特筆すべきは、隠しファイル名(.config.env)やAPIキー偽装、正規ホスティング/共有サービスの段階的悪用により、プロキシ/IDSでの単純なブロックやサンドボックス検知をすり抜けやすい点です。Pastebinはデッドドロップ的に活用され、オンプレ/クラウド双方の検知負荷を高めます。なお、報告には.onionアドレスへの参照も含まれますが、当該アドレスは現時点でオフラインとされています。
⚠ 影響
想定標的はソフトウェア開発者を含む技術職で、リポジトリ経由の実行により開発端末・ビルド環境からの機密情報漏えい、リポジトリ資格情報・トークン・暗号資産ウォレット情報の窃取が発生し得ます。正規サービス経由の配信により、企業ゲートウェイでの一律遮断が困難なため、開発ネットワーク・CI/CDへの横展開やサプライチェーン汚染に波及するリスクがあります。
🛠 対策
- リポジトリ衛生:外部から入手したプロジェクトの設定ファイル(.env/.config等)にBase64やURLが含まれる場合は静的解析・秘密情報スキャンを実施。
- 実行制御:開発端末でのJavaScript/Node.jsおよびPythonの未知スクリプト実行を制限(アプリ制御、署名付きスクリプトのみに限定)。
- ネットワーク制御:JSON Keeper/JSONsilo/npoint.io/Pastebin等のアクセスをデフォルト拒否し、業務上必要な場合は許可リスト方式+SSL検査で観測。
- 検査強化:GitHub/GitLab/Bitbucketからのrawコンテンツ取得をプロキシで可視化し、連続アクセスやBase64乱用を検知。
- 認証情報保護:開発者トークン・SSH鍵・ウォレットデータのハードニング(ハードウェアトークン、保護付きキーチェーン、最小権限)。
- 教育:LinkedIn等での採用/コラボ誘いに対するソーシャルエンジニアリング訓練と検証フロー(別経路での送信者確認)。
CVSS:該当なし(脆弱性悪用ではなく、正規サービス悪用のキャンペーン)。
📌 SOC視点
- プロセス相関:コードエディタ/IDE→node(またはwscript/deno)→pythonの子プロセス連鎖。未知のJS実行直後にpython.exe生成があれば高優先度で調査。
- ファイルIOC:server/config/.config.env 等の隠し設定ファイル、新規に生成される%TEMP%以下のJS/PY。
- ネットワークIOC:jsonkeeper.com、jsonsilo.com、npoint.io、pastebin.comへの短時間連続GET、User-Agentの不自然な切替、JSONレスポンス直後の実行イベント。
- コンテンツ特徴:Base64/Unicodeエスケープ多用のJSON、難読化JS(長大な配列、atob/Buffer.from連鎖)をプロキシ/SWGでヒューリスティック検知。
- EDR検知ロジック例:”node.exe が python.exe をスポーン”、”IDE/エディタ配下からのネットダウンロード”、”隠しパス(.config)へのアクセス”。
📈 MITRE ATT&CK
- T1566.003(サービス経由のスピアフィッシング):LinkedIn等での接触と課題配布。
- T1204.002(ユーザ実行:悪性ファイル):トロイ化プロジェクトの手動実行。
- T1105(Ingress Tool Transfer):JSONストレージからの次段階取得。
- T1102.001(Webサービス:デッドドロップリゾルバ):Pastebinを介した後続情報/ペイロード取得。
- T1027/T1140(難読化と復号):Base64などで偽装されたURL/ペイロード。
- T1036(なりすまし):APIキーに偽装した文字列。
- T1564.001(隠しファイル/ディレクトリ):.config.envのようなドットファイル利用。
- T1059.007/T1059.006(スクリプト実行:JavaScript/Python):BeaverTailとInvisibleFerretの実行。
- T1082(システム情報探索)・T1005(ローカルデータ取得):指紋収集と機微情報窃取。
- T1041(C2経由の流出):正規Webサービス経由での送出。
🏢 組織規模別助言
- 小規模(〜50名):開発端末にEDRを必須化し、Pastebin/JSONストレージを原則遮断。外部から得たコードは隔離VMで検証。
- 中規模(50〜500名):プロキシでrawコンテンツ取得を可視化、CI/CDにシークレットスキャンを組込み(pre-commit含む)。SaaS許可リスト運用を整備。
- 大規模(500名〜):開発ネットワークのゼロトラスト分離、eBPF/NSMでL7のJSON転送を監視。人事/採用SOPとセキュリティ教育を統合し、LinkedIn接触の二経路検証を制度化。
🔎 類似事例
- Operation Dream Job(LinkedInを悪用した開発者/技術者狙いの北朝鮮系キャンペーン)。
- 3CXサプライチェーン侵害(2023):北朝鮮系クラスター関与が複数社から報告。
- Contagious Interview(Palo Alto Networksが2023年末に報告した系譜:BeaverTail/InvisibleFerret)。
🧭 次の一手
- 開発端末のEDR検知ルールに「node→python子プロセス」「.env/.config.env読み出し後のネット取得」を追加。
- プロキシの許可リストを見直し、JSON Keeper/JSONsilo/npoint.io/Pastebinの通信ログを即日点検。
- リポジトリ入荷フローに静的解析・シークレットスキャンを義務化。サードパーティコードはまず隔離環境で実行。
- ソーシャル接触(LinkedIn等)に関する社内通報・検証手順を策定し周知。
