概要
北朝鮮の脅威アクターは、JavaScriptやPythonの開発者を標的とした新たな偽求人キャンペーンを展開しています。このキャンペーンでは、暗号通貨に関連するタスクが含まれており、開発者はスキルを示すためにコードを実行し、デバッグおよび改善することが求められます。
脅威の詳細
研究者によると、この脅威アクターはブロックチェーンや暗号取引セクターで偽の会社を作成し、LinkedIn、Facebook、Redditなどのプラットフォームに求人情報を掲載しています。
攻撃手法
- 依存関係を悪用:脅威アクターはnpmやPyPiレジストリで公開されたパッケージを使用し、これらがダウンローダーとして機能するようにしています。
- マルウェアの隠蔽:脅威アクターは、依存関係をlegitimateなプラットフォームにホストすることで、悪意のある性質を隠します。
キャンペーンの特徴
このキャンペーンは、「Graphalgo」と名付けられ、パッケージが「graph」を含むことが特徴です。しかし、12月以降は「big」を含むパッケージにシフトしています。
被害の影響
- RATインストール:開発者がプロジェクトを実行すると、RAT(リモートアクセストロイアン)がインストールされ、システムが感染します。
- C2サーバとの通信:RATはC2サーバからの指示に従って任意のコマンドを実行し、ファイルをエクスフィレートしたり追加のペイロードをドロップすることができます。
対策と予防
被害を受けた開発者は、すべてのトークンやアカウントパスワードを更新し、OSを再インストールすることをお勧めします。また、ReversingLabsが公開した完全な脅威指標(IoCs)も参照してください。
結論
このキャンペーンは、過去の活動と同様に、北朝鮮の脅威アクターであるLazarusグループによるものだと考えられています。開発者は注意を払い、適切なセキュリティ対策を行うことが重要です。