はじめに:巧妙化する「Contagious Interview」キャンペーン
北朝鮮の脅威アクターは、「Contagious Interview」キャンペーンをエスカレートさせ、338個の悪意あるnpmパッケージを展開し、50,000回以上ダウンロードさせています。このキャンペーンは、高度なソーシャルエンジニアリング戦術を通じて、暗号通貨およびブロックチェーン開発者を標的にしています。国家が支援するこの作戦は、サプライチェーン攻撃の著しい進化を示しており、180以上の偽ペルソナと12のコマンド&コントロール(C2)エンドポイントを利用して、BeaverTailおよびInvisibleFerretバックドアを含む高度なマルウェアを配信しています。セキュリティ研究者らは、これを開発者のエンドポイントを侵害し、暗号通貨資産を盗むことを目的とした「工場型」の作戦と特定しています。
攻撃手法:Lockheed Martin Cyber Kill Chainに基づく戦略
「Contagious Interview」キャンペーンは、Lockheed Martin Cyber Kill Chainフレームワークに基づいた体系的なアプローチを採用しています。脅威アクターは、まずLinkedInでの偵察から開始し、暗号通貨開発者、Web3エンジニア、ブロックチェーン専門家に見えるターゲットに接触します。攻撃者は採用担当者や採用マネージャーを装い、潜在的な被害者の技術的専門知識と経済的潜在力をスクリーニングします。被害者は通常、求人メッセージを受け取り、その後、一見正当に見える依存関係のインストールを必要とするコーディング課題が送られてきます。最近の事例では、あるソフトウェアエンジニアが悪意ある「eslint-detector」パッケージを含むリポジトリを受け取りました。これは日常的な採用テストの一部に見えましたが、資格情報やウォレットデータを盗むように設計された暗号化されたペイロードを含んでいました。脅威アクターは、偽の面接期限に時間的プレッシャーを意図的にかけ、被害者にセキュリティレビューを徹底せず「npm install」コマンドを迅速に実行するよう促します。
技術的進化とマルウェアの武器化
現在の攻撃は、以前のキャンペーンと比較して著しい技術的洗練度を示しています。脅威アクターは、単純なBeaverTailマルウェアドロッパーを超え、HexEval、XORIndex、暗号化ローダーの3つの異なるローダーファミリーを実装しています。npmレジストリは、悪意あるコードを検出した後、「jito-components」をセキュリティホールドパッケージとしてマークしました。ソーシャルエンジニアリングの側面は、プロジェクト設定中に依存関係を定期的にインストールする開発者の自然なワークフローを悪用するため、特に効果的です。各亜種はパッケージのインストールまたはインポート中に実行され、難読化されたマルウェアをメモリ内で再構築し、通常は永続性のためにInvisibleFerretバックドアをフェッチします。悪意あるパッケージは、開発者が自動的にインストールする日常的な依存関係、特にNode.jsおよびExpressエコシステム内のものを標的にしています。
標的となるパッケージとタイポスクワッティング
攻撃者は、人気のあるパッケージのタイポスクワッティング版を作成しています。これには、Expressを模倣した「epxreso」、dotenvを模倣した「dotevn」、body-parserを標的とした「boby_parser」などが含まれます。その他にも、validator、cors、helmet、morgan、nodemailer、nodemonといったサーバーユーティリティが狙われています。サーバーユーティリティ以外にも、このキャンペーンはWeb3および暗号通貨開発ツールを具体的に標的にしています。研究者らは、ethers.js(「ethrs.js」および「ethres.js」として)、web3.js(「we3.js」および「wb3.js」として)、Truffle、Ganache、Hardhatなどの開発フレームワークの体系的なタイポスクワッティングを特定しています。攻撃者はまた、「metamask-api」のようなブランドなりすましパッケージを作成し、暗号通貨ウォレット開発者を標的にしています。
インフラストラクチャと永続化メカニズム
このキャンペーンのコマンド&コントロール(C2)インフラは、コモディティVPSプロバイダー上の生IPアドレスとVercelのような正規のホスティングプラットフォームを組み合わせて、通常の開発者トラフィックに紛れ込ませています。通信はHTTP/HTTPSおよびWebSocketプロトコルを介して行われ、「/api/ipcheck」、「/process-log」、「/apikey」など、仕事関連に見えるURIパスが設計されています。インストールは、単純な一度限りの侵害ではなく、長期的な足がかりを確立します。BeaverTailマルウェアは永続的なアクセスを確立し、Windows、macOS、Linuxプラットフォームで動作するInvisibleFerretバックドアをステージングします。この多段階アプローチにより、脅威アクターは偵察を行い、暗号通貨窃盗の準備をしながら、長期間アクセスを維持することができます。
キャンペーンの継続性と影響
このキャンペーンは、防御策に直面しても驚くべき永続性を示しています。セキュリティチームが悪意あるパッケージを削除すると、脅威アクターは異なる名前で新しい亜種を迅速にアップロードします。この作戦は毎週のアップロードスケジュールを維持しており、研究者らはパッケージの提出、削除、再アップロードのサイクルの一貫したパターンを記録しています。独立した報告によると、北朝鮮関連の脅威アクターは2025年にすでに20億ドル以上の暗号通貨を盗んでおり、「Contagious Interview」キャンペーンは、より広範な暗号通貨エコシステムを標的とする戦略の一つのベクトルを表しています。盗まれた資産は通常、ミキサー、クロスチェーンスワップ、およびBitcoin、Ethereum、BTTC、Tronを含む代替ブロックチェーンネットワークを介した洗練されたマネーロンダリングネットワークを通じて移動します。このキャンペーンの規模と永続性は、npmエコシステムとより広範なソフトウェアサプライチェーンが直面する課題を浮き彫りにしています。分析時点で25個の悪意あるパッケージが依然としてアクティブであり、脅威は進化し続けており、技術的脆弱性と開発者のワークフローを標的とするソーシャルエンジニアリングの両方に対処する包括的な防御戦略が必要です。