概要
サイバーセキュリティ研究者が、npmとPython Package Index (PyPI) リポジトリに存在する悪意のあるパッケージを発見しました。これらのパッケージは、北朝鮮関連のLazarus Groupによって操作された偽装求人キャンペーンに関連しています。
詳細
このキャンペーンは「graphalgo」というコードネームで知られており、2025年5月から活動が確認されています。開発者たちはLinkedInやFacebookなどのソーシャルプラットフォームを通じて、またはRedditのようなフォーラムでの求人情報によって接触されます。
悪意のあるパッケージのリスト
以下のnpmとPyPIに登録されたパッケージが確認されています:
- npm:
- graphalgo, graphorithm, graphstruct, graphlibcore, netstruct, graphnetworkx, terminalcolor256, graphkitx, graphchain, graphflux, graphorbit, graphnet, graphhub, terminal-kleur, graphrix, bignumx, bignumberx, bignumex, bigmathex, bigmathix, bigmathutils
- PyPI:
- graphalgo, graphex, graphlibx, graphdict, graphflux, graphnode, graphsink, bigpyx, bignum, bigmathex, bigmathix, bigmathutils
キャンペーンの仕組み
このキャンペーンでは、ブロックチェーンや暗号通貨取引に関連する偽装企業を設立し、関連ドメインとGitHub組織を登録して信憑性を装います。これらのリポジトリはPythonとJavaScriptのプロジェクトを含んでおり、応募者が求人情報を確認した際にそのプロジェクトを実行することで悪意のある依存関係がインストールされ、感染が始まります。
マルウェアの機能
これらのパッケージはリモートアクセストロイアン (RAT) を配布し、外部サーバーからコマンドを定期的に取得して実行します。このRATはシステム情報を収集したり、ファイルやディレクトリの列挙、プロセスの一覧表示、フォルダ作成、ファイル名変更、ファイル削除、ファイルアップロード/ダウンロードなどの機能をサポートしています。
トークンベースのC2通信
C2通信はトークンベースのメカニズムで保護されており、有効なトークンを持つリクエストのみが受け入れられます。これは以前に北朝鮮関連のハッキンググループであるJade Sleetによって使用された手法と類似しています。
新たな脅威
JFrogは、
元記事: https://thehackernews.com/2026/02/lazarus-campaign-plants-malicious.html