🛡 概要
北朝鮮の新たな「感染するインタビュー」キャンペーンが、求職者をターゲットにした悪意のあるnpmパッケージを使用して、開発者のデバイスに情報窃取ツールやバックドアを感染させています。これらのパッケージはSocket Threat Researchによって発見され、被害者のコンピュータにBeaverTail情報窃取ツールとInvisibleFerretバックドアを読み込むことが報告されています。これらはDPRK関連の攻撃者に関連付けられた、十分に文書化されたペイロードです。
🔍 技術詳細
最新の攻撃波では、24のアカウントを通じて提出された35の悪意のあるパッケージが使用されています。これらのパッケージは合計で4,000回以上ダウンロードされており、そのうちの6つは執筆時点でまだ利用可能です。35の悪意のあるnpmパッケージの中には、信頼性の高いライブラリを模倣したり、タイプミスを利用したものが含まれており、特に危険です。例えば、react-plaid-sdkやvite-plugin-next-refreshなどが挙げられます。攻撃者はLinkedInでリクルーターを装い、開発者にコーディングの「課題」を送信し、プロジェクト内にこれらの悪意のあるパッケージを埋め込んでいます。最初のステージはHexEval Loaderで、npmパッケージ内に隠されており、ホストをフィンガープリンティングし、攻撃者のコマンド・アンド・コントロール(C2)サーバーに接続します。
⚠ 影響
BeaverTailはマルチプラットフォームの情報窃取ツールで、ブラウザデータを盗み、次のステージであるInvisibleFerretを読み込みます。InvisibleFerretはクロスプラットフォームの持続的バックドアで、リモートコントロール、ファイル盗難、スクリーンショット取得の能力を攻撃者に提供します。攻撃者は最後に、低レベルの入力イベントにフックし、リアルタイムの監視とデータ抽出を行うクロスプラットフォームのキーロガーツールをドロップします。このキーロガーはキャンペーンで使用されたnpmエイリアスの一つにのみ関連付けられており、選ばれた高価値ターゲットにのみ展開される可能性があります。ソフトウェア開発者は魅力的なリモートジョブのオファーに注意を払い、未知のコードは必ずコンテナや仮想マシン内で実行する必要があります。
🛠 対策
開発者は、これらの悪意のあるnpmパッケージを避けるために、信頼できるソースからのみパッケージをダウンロードすることが重要です。また、リクルーターからの連絡を受けた際には、慎重に対応し、提供されたコードを実行する前に必ず検証を行うべきです。特に、北朝鮮のハッカーLazarusは、昨年3月にも別の悪意のあるパッケージをnpmに提出しており、このリスクは継続しています。開発者は常に最新のセキュリティ情報をチェックし、適切な対策を講じることが求められます。
