北朝鮮のChollimaアクター、新たな脅威ツールを導入
北朝鮮と関連する脅威グループ「Famous Chollima」(別名:Wagemole、Nickel Tapestry、Purple Bravo、Tenacious Pungsan、Void Dokkaebi、Storm-1877、UNC5267)が、その攻撃ツールをさらに進化させていることが明らかになりました。このグループは、BeaverTailとOtterCookieという新たなツールを統合し、その機能を強化しています。主な目的は、偽の求人情報を利用して、被害者から認証情報や暗号通貨を窃取することです。
最近のキャンペーンでは、悪意のあるNPMパッケージを介してトロイの木馬化されたNode.jsアプリケーションが配布され、Chollimaグループの配信方法の適応性を示しています。
巧妙な感染経路と攻撃手法
今回のキャンペーンでは、暗号通貨をテーマにしたチェスアプリに埋め込まれた悪意のあるNPMパッケージ「node-nvm-ssh」が感染経路として利用されました。このパッケージは、難読化されたJavaScriptペイロードを実行するポストインストールスクリプトをトリガーします。
- BeaverTailの機能: ブラウザプロファイルの列挙に特化しており、Chrome、Brave、EdgeなどのブラウザにインストールされているMetaMask、Phantom、Solflareといった暗号通貨ウォレットの拡張機能を標的にします。また、C2サーバーからPythonベースのInvisibleFerretモジュールをダウンロードし、WindowsシステムにPythonディストリビューションをインストールして実行を可能にします。
- OtterCookieの機能: モジュール式の拡張機能を提供し、リモートシェルアクセス、ファイル窃取(ドキュメント、認証情報、暗号通貨関連ファイル)、暗号通貨拡張機能の窃取を行います。2025年4月に初めて確認された新しいモジュールでは、キーロギングとスクリーンショット機能が追加され、一時ファイルにデータをバッファリングした後、C2エンドポイントに送信します。macOSでは「pbpaste」、WindowsではPowerShellなどのOSネイティブコマンドを使用してクリップボード監視も行われます。
Cisco Talosの研究者たちは、オンボーディングツールを模倣した不審なVS Code拡張機能も発見しており、エディタベースの配信方法の実験を示唆しています。
マルウェアの進化とChollimaグループの背景
OtterCookieは2024年後半のバージョン1から2025年8月のバージョン5まで進化しており、初期のRCE機能に加え、環境チェックやエラーハンドラevalによるコードローディングなどのアンチ分析技術が組み込まれています。BeaverTailも2023年半ばから活動しており、C2 URLのBase64シャッフルやクロスプラットフォームサポートなど、サプライチェーン攻撃に合わせた適応を見せています。
Famous Chollimaは、少なくとも2018年から活動している北朝鮮関連の脅威アクターであり、暗号通貨、ブロックチェーン、テクノロジー分野を標的としています。特にインドや米国、ドイツ、ウクライナを含む西側諸国に焦点を当てています。彼らの活動は、北朝鮮政権を支援するための金銭的利益とスパイ活動が主な動機です。
このグループは、高度な社会工学的手法を駆使し、UpworkやLinkedInなどのプラットフォームを通じて、正当なリモートITワーカーを装って組織に侵入します。偽の身元を作成し、履歴書を偽造し、生成AIを使用して説得力のあるプロフィールを作成することで、中小企業での職を得ています。一度侵入すると、BeaverTailやInvisibleFerretなどのカスタムマルウェアを展開し、認証情報や機密データを窃取します。彼らは、レジストリの変更を通じて永続性を確立し、RC4暗号化されたHTTPを使用してコマンド&コントロール通信を行います。彼らの作戦は、不正に得た給与や盗んだ資産を通じて北朝鮮の政権に資金を提供し、国際的な制裁を回避しています。グループのインフラは、活動を隠蔽するために匿名化ネットワークに依存していることが多いです。