北朝鮮ハッカーが偽のIT従業員スchemesと悪質な面接罠を悪用

概要

北朝鮮政府支援のハッカーグループは、開発者の採用ワークフローを悪用し、JavaScriptベースのマルウェアを配布する大規模な偽IT従業員と「感染性面接」キャンペーンを展開しています。

北朝鮮の脅威アクターは、少なくとも2022年からリクルーターや採用マネージャーを装い、ソフトウェア開発者に罠のコードプロジェクトを実行させることで情報を盗む手法を使用しています。

北朝鮮のハッカーは、開発者がリポジトリをクローンしたり、テストタスクやデバッグを行うように要求し、これらのプロジェクトには秘密裏にBeaverTailやOttercookieなどのカスタムマルウェアファミリー用のローダーが含まれています。

GitLabの2025年の脅威インテリジェンスは、これらのアクターがJavaScriptベースのコードベースとローダーに大きく依存していることを示しています。多くの場合、これらはエンコードされたURLやヘッダーを含む.envファイルを使用し、「トリガー」関数でリモートコンテンツを取得します。

北朝鮮のオペレーターは、偽のIT従業員のパーソナリティを作成し、会社に契約者やフルタイムのリモート従業員として侵入しています。

GitLabは2025年に131のアカウントを禁止しました。これらのアカウントは、悪意のあるプロジェクトやIT従業員の活動に関連していました。

北朝鮮の国民Kil-Nam Kangが管理する細胞では、2022年第1四半期から2025年第3四半期までの間に164万ドル以上の収益を上げたことが明らかになりました。

組織は、面接に関連するコードプロジェクトや非公式なテストリポジトリ、プロフィールが薄いポートフォリオを高リスクとして扱うべきです。特に暗号、金融、不動産セクターでは注意が必要です。

元記事: https://gbhackers.com/fake-it-worker-schemes/