北朝鮮ハッカー集団による「Contagious Interview」キャンペーン
北朝鮮の脅威アクターは、「Contagious Interview」キャンペーンをエスカレートさせ、338の悪意あるnpmパッケージを展開し、50,000回以上のダウンロードを記録しています。このキャンペーンは、巧妙なソーシャルエンジニアリング戦術を通じて、仮想通貨およびブロックチェーン開発者を標的にしています。国家が支援するこの作戦は、サプライチェーン攻撃の著しい進化を示しており、180以上の偽ペルソナと12のコマンド&コントロールエンドポイントを利用して、BeaverTailやInvisibleFerretバックドアを含む高度なマルウェアを配布しています。セキュリティ研究者らは、これを開発者のエンドポイントを侵害し、仮想通貨資産を盗むことを目的とした工場型オペレーションと特定しています。
攻撃手法とソーシャルエンジニアリング
「Contagious Interview」キャンペーンは、Lockheed Martinのサイバーキルチェーンフレームワークに基づいた体系的なアプローチを採用しています。脅威アクターは、LinkedInでの偵察から始め、仮想通貨開発者、Web3エンジニア、ブロックチェーン専門家に見えるターゲットに接触します。攻撃者は採用担当者や採用マネージャーを装い、潜在的な被害者の技術的専門知識と経済的潜在能力をスクリーニングします。
被害者は通常、求人メッセージを受け取り、その後、一見正当に見える依存関係のインストールを必要とするコーディング課題が提示されます。最近の事例では、悪意のある「eslint-detector」パッケージを含むリポジトリを受け取ったソフトウェアエンジニアがいました。これは日常的な採用テストの一部に見えましたが、資格情報とウォレットデータを盗むように設計された暗号化されたペイロードが含まれていました。脅威アクターは、偽の面接期限を設定することで意図的に時間的プレッシャーをかけ、被害者に徹底的なセキュリティレビューなしに「npm install」コマンドを迅速に実行するよう促します。
技術的進化と悪用されるパッケージ
現在の攻撃は、キャンペーンの初期バージョンと比較して、著しい技術的洗練度を示しています。脅威アクターは、単純なBeaverTailマルウェアドロッパーから、以下の3つの異なるローダーファミリーを実装するまでに進化しました。
- HexEval
- XORIndex
- 暗号化されたローダー
これらのマルウェアは、パッケージのインストール中またはインポート中に実行され、難読化されたマルウェアをメモリ内で再構築し、通常は永続性のためにInvisibleFerretバックドアをフェッチします。悪意のあるパッケージは、開発者がプロジェクト設定中に自動的にインストールする日常的な依存関係、特にNode.jsおよびExpressエコシステム内のものを標的にしています。攻撃者は、Expressを模倣した「epxreso」、dotenvを模倣した「dotevn」、body-parserを標的とした「boby_parser」など、人気のあるパッケージのタイポスクワットバージョンを作成しています。
サーバーユーティリティ以外にも、このキャンペーンはWeb3および仮想通貨開発ツールを具体的に標的にしています。研究者らは、ethers.js(「ethrs.js」および「ethres.js」として)、web3.js(「we3.js」および「wb3.js」として)、およびTruffle、Ganache、Hardhatなどの開発フレームワークの体系的なタイポスクワットを特定しています。攻撃者はまた、「metamask-api」のようなブランドなりすましパッケージを作成し、仮想通貨ウォレット開発者を標的にしています。
インフラと持続性メカニズム
このキャンペーンのコマンド&コントロールインフラは、コモディティVPSプロバイダー上の生IPアドレスと、Vercelのような正当なホスティングプラットフォームを組み合わせて、通常の開発者トラフィックに紛れ込んでいます。通信はHTTP/HTTPSおよびWebSocketプロトコルを介して行われ、「/api/ipcheck」、「/process-log」、「/apikey」など、仕事関連に見えるように設計されたURIパスが使用されます。
インストールは、単純な一度限りの侵害ではなく、長期的な足がかりを確立します。BeaverTailマルウェアは永続的なアクセスを確立し、Windows、macOS、Linuxプラットフォームで動作するInvisibleFerretバックドアをステージングします。この多段階アプローチにより、脅威アクターは偵察を行い、仮想通貨の窃盗を準備しながら、長期間アクセスを維持することができます。このキャンペーンは、防御策に直面しても驚くべき持続性を示しています。セキュリティチームが悪意のあるパッケージを削除すると、脅威アクターはすぐに異なる名前で新しいバリアントをアップロードします。この作戦は毎週のアップロードスケジュールを維持しており、研究者らはパッケージの提出、テイクダウン、再アップロードのサイクルの一貫したパターンを文書化しています。
独立した報告によると、北朝鮮関連の脅威アクターは2025年中にすでに20億ドル以上の仮想通貨を盗んでおり、「Contagious Interview」キャンペーンは、仮想通貨エコシステムを標的とする広範な戦略の一つのベクトルに過ぎません。盗まれた資産は通常、ミキサー、クロスチェーンスワップ、およびビットコイン、イーサリアム、BTTC、トロンを含む代替ブロックチェーンネットワークを含む洗練されたマネーロンダリングネットワークを通じて移動します。
脅威の継続と対策の必要性
このキャンペーンの規模と持続性は、npmエコシステムとより広範なソフトウェアサプライチェーンが直面する課題を浮き彫りにしています。分析時点で25の悪意のあるパッケージがアクティブなままであり、脅威は進化し続けています。開発者のワークフローを標的とする技術的脆弱性とソーシャルエンジニアリングの両方に対処する、包括的な防御戦略が求められています。