概要:進化する北朝鮮のサイバー攻撃
北朝鮮の脅威アクター、Lazarus Groupと関連するサイバー攻撃が、ソフトウェア開発者を標的にその手法を危険なほど進化させています。これは「Contagious Interview」キャンペーンの新たな段階であり、Microsoft Visual Studio Codeのタスクファイルを悪用して高度なマルウェアを拡散するものです。過去100日間にわたって活動が確認されていましたが、ここ数週間で劇的に活発化し、11種類の異なる攻撃バリアントで計17の悪意のあるGitHubリポジトリが特定されています。
巧妙な手口:「偽フォント」による感染
この最新の「偽フォント」キャンペーンは、VS Codeのタスク自動化機能を悪用しています。正規のウェブフォントを装ったファイル内にJavaScriptマルウェアを隠蔽し、開発者がプロジェクトを開くと自動的に、そして密かに実行させます。このマルウェアは最終的にPythonベースの「InvisibleFerret」バックドアを展開します。
攻撃の詳細:ソーシャルエンジニアリングからバックドアまで
攻撃は、LinkedInでのソーシャルエンジニアリングから始まります。偽のリクルーターが暗号通貨やフィンテック企業を装い、魅力的な求人情報でターゲットに接触します。被害者は、一見すると正規のコーディング評価に見えるGitHubリポジトリを受け取ります。これにはReactフロントエンド、Node.jsバックエンド、適切なREADME、CI/CD設定などが含まれています。
しかし、悪意のあるペイロードは.vscode/tasks.jsonファイル内に潜んでいます。このファイルは"runOn": "folderOpen"と"reveal": "never"というパラメータで設定されており、開発者がプロジェクトを開いて「ワークスペースを信頼する」をクリックすると、サイレントにタスクを実行します。これにより、一見するとフォントファイルであるnode public/fonts/fa-brands-regular.woff2が起動されますが、実際には高度に難読化されたJavaScriptマルウェアです。
OpenSourceMalwareチームの調査によると、この「偽フォント」ファイルはBase91エンコーディングという高度なバイナリto ASCIIエンコーディングスキームを使用しており、一般的なBase64に最適化されたセキュリティツールの検出を回避します。第一段階ローダーである「BeaverTail」は、~/.npm/に隠しディレクトリを作成し、axiosやrequestなどのnpmパッケージをインストールした後、正規のAlchemy Ethereum APIサービスを模倣したタイポスクワッティングドメインであるeth-mainnet-alchemy.comのC2(コマンド&コントロール)サーバーと通信します。このC2サーバーからは、さらにトリプルレイヤーのBase91で難読化されたJavaScriptペイロードが配信されます。
「InvisibleFerret」バックドアの脅威
最終的なペイロードである「InvisibleFerret」は、広範な機能を備えたPythonベースのバックドアです。
- 暗号通貨の窃盗:MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Exodus、Ledger Liveを含む13種類以上の暗号通貨ウォレット拡張機能から情報を窃取します。
- ブラウザ認証情報の収集:ブラウザに保存された認証情報を収集します。
- キーロギング:キーボード入力を記録します。
- クリップボードハイジャック:クリップボード内の暗号通貨アドレスを攻撃者が管理するウォレットのアドレスに置き換えます。
このマルウェアは、Windows、macOS、Linuxシステム全体で永続性を確立し、再起動後も存続し、WebSocket接続を介してリモートアクセスを維持します。感染チェーンは、被害者がコーディング評価の指示を読み終える前に、わずか約40秒で完了します。多くの開発者は、フォレンジック分析によって攻撃ベクトルが明らかになるまで、VS Codeリポジトリが悪用されたことに気づかないままです。
継続する脅威と対策
OpenSourceMalwareの研究チームは、このキャンペーンを#fake-fontタグの下で追跡しており、関連するすべてのIoC(侵害指標)をopensourcemalware.comで公開しています。このキャンペーンは、2023年から活動している「Contagious Interview」作戦の第三のサブキャンペーンに位置付けられ、ソフトウェア開発コミュニティに対する永続的で進化する脅威を浮き彫りにしています。