北朝鮮ハッカーが開発者を標的に:338の悪意あるソフトウェアパッケージでサプライチェーン攻撃を強化
北朝鮮の脅威アクターは、「Contagious Interview」キャンペーンをエスカレートさせ、338の悪意あるnpmパッケージを展開し、50,000回以上のダウンロードを通じて、暗号通貨およびブロックチェーン開発者を標的にしています。これは、高度なソーシャルエンジニアリング戦術を用いたサプライチェーン攻撃の重大な進化を示しています。
「Contagious Interview」キャンペーンの概要
この国家支援型作戦は、180以上の偽のペルソナと12のコマンド&コントロールエンドポイントを利用し、BeaverTailやInvisibleFerretといった高度なバックドアマルウェアを配布しています。セキュリティ研究者たちは、これを開発者のエンドポイントを侵害し、暗号通貨資産を盗むための「工場型」作戦と特定しています。
巧妙なソーシャルエンジニアリングと攻撃手法
「Contagious Interview」キャンペーンは、Lockheed MartinのCyber Kill Chainフレームワークに基づいた体系的なアプローチを採用しています。攻撃者はLinkedInで偵察を開始し、暗号通貨開発者、Web3エンジニア、ブロックチェーン専門家に見えるターゲットに接触します。彼らは採用担当者や採用マネージャーを装い、潜在的な被害者の技術的専門知識と経済的潜在能力をスクリーニングします。
被害者は通常、求人メッセージを受け取った後、一見正当に見える依存関係のインストールを必要とするコーディング課題を与えられます。最近の事例では、ソフトウェアエンジニアが悪意ある「eslint-detector」パッケージを含むリポジトリを受け取りました。これは日常的な採用テストの一部に見えましたが、資格情報やウォレットデータを盗むように設計された暗号化されたペイロードを含んでいました。
脅威アクターは、偽の面接期限に時間的プレッシャーを意図的にかけ、被害者に徹底的なセキュリティレビューなしに「npm install」コマンドを迅速に実行するよう促します。
技術的進化と悪意あるパッケージ
現在の攻撃は、以前のキャンペーンバージョンと比較して、著しい技術的洗練度を示しています。脅威アクターは、単純なBeaverTailマルウェアドロッパーを超えて、以下の3つの異なるローダーファミリーを実装しています。
- HexEval
- XORIndex
- 暗号化されたローダー
ソーシャルエンジニアリングの側面は、プロジェクトのセットアップ中に定期的に依存関係をインストールする開発者の自然なワークフローを悪用するため、特に効果的です。各バリアントはパッケージのインストール中またはインポート中に実行され、難読化されたマルウェアをメモリ内で再構築し、通常は永続性のためにInvisibleFerretバックドアをフェッチします。
悪意あるパッケージは、開発者が自動的にインストールする日常的な依存関係、特にNode.jsおよびExpressエコシステム内のものを標的にしています。攻撃者は、人気のあるパッケージのタイポスクワットバージョンを作成しています。例としては、Expressを模倣した「epxreso」、dotenvを模倣した「dotevn」、body-parserを標的とした「boby_parser」などがあります。
サーバーユーティリティ以外にも、キャンペーンはWeb3および暗号通貨開発ツールを具体的に標的にしています。研究者たちは、ethers.js(「ethrs.js」および「ethres.js」として)、web3.js(「we3.js」および「wb3.js」として)、およびTruffle、Ganache、Hardhatなどの開発フレームワークの体系的なタイポスクワットを特定しています。攻撃者はまた、「metamask-api」のようなブランドなりすましパッケージを作成し、暗号通貨ウォレット開発者を標的にしています。
インフラと永続化メカニズム
キャンペーンのコマンド&コントロールインフラは、一般的なVPSプロバイダー上の生IPアドレスとVercelのような正当なホスティングプラットフォームを組み合わせて、通常の開発者トラフィックに溶け込んでいます。通信はHTTP/HTTPSおよびWebSocketプロトコルを介して行われ、URIパスは「/api/ipcheck」、「/process-log」、「/apikey」のように仕事関連に見えるように設計されています。
インストールは、単純な一度限りの侵害ではなく、長期的な足がかりを確立します。BeaverTailマルウェアは永続的なアクセスを確立し、Windows、macOS、Linuxプラットフォームで動作するInvisibleFerretバックドアをステージングします。この多段階アプローチにより、脅威アクターは偵察を行い、暗号通貨の窃盗を準備しながら、長期間アクセスを維持することができます。
継続する脅威と対策の必要性
このキャンペーンは、防御策に直面しても驚くべき永続性を示しています。セキュリティチームが悪意あるパッケージを削除すると、脅威アクターはすぐに異なる名前で新しいバリアントをアップロードします。この作戦は毎週のアップロードスケジュールを維持しており、研究者たちはパッケージの提出、削除、再アップロードのサイクルの一貫したパターンを文書化しています。
独立した報告によると、北朝鮮関連の脅威アクターは2025年にすでに20億ドル以上の暗号通貨を盗んでおり、「Contagious Interview」キャンペーンは、暗号通貨エコシステムを標的とする広範な戦略における一つのベクトルを表しています。
このキャンペーンの規模と永続性は、npmエコシステムと広範なソフトウェアサプライチェーンが直面する課題を浮き彫りにしています。分析時点で25の悪意あるパッケージが依然として活動しており、脅威は進化し続けています。これは、技術的脆弱性と開発者のワークフローを標的とするソーシャルエンジニアリングの両方に対処する包括的な防御戦略を必要とします。