高度化する北朝鮮の詐欺キャンペーン
北朝鮮と関連付けられる新たな詐欺キャンペーン「Contagious Interview」の高度な亜種が出現しました。このキャンペーンは、AI開発者、ソフトウェアエンジニア、仮想通貨の専門家など、求職中のプロフェッショナルを狙っており、その手口はかつてないほど洗練されています。従来の北朝鮮のIT労働者による浸透工作とは異なり、この新たな作戦は、実際の採用プロセスを驚くほど正確に模倣した、精巧な偽の採用プラットフォームを通じて個人を標的にしています。
巧妙に作られた偽の採用プラットフォーム
セキュリティ研究者たちは、lenvny[.]comでホストされているこの悪意あるプラットフォームを発見しました。当初は使い捨てのフィッシングページと思われましたが、実際には数十のルート、動的に生成されるUUID駆動の求人リスト、現代の採用システムを模倣した応募フローを備えた、本格的なReact/Next.jsベースの求人プラットフォームであることが判明しました。
このサイトは「統合型AIパワード面接ツール」を自称し、プロフェッショナルなバッジ、捏造された推薦文、そして著名なテクノロジー企業のロゴを使用して信頼性を確立しています。ランディングページは、2025年の正規のAIツールエコシステムを模倣するよう意図的に調整された、グラデーションを多用したUIデザインと合成ブランディングを採用しています。さらに、機能比較チャートを提示し、その架空のプラットフォームを、実際のAIワークフローツールや採用効率化ツールと並べて位置づけることで、信頼性の外観を強化しています。
応募プロセスに仕込まれた悪意
この偽のキャリアポータルには、Anthropic、Yuga Labs、Anchorage Digital、Gate、Digital Currency Groupなど、繰り返し詐称されている組織からの求人情報が掲載されています。応募フローは、すべての募集職種で共通の標準化されたフォームから始まります。
各求人リストには、事業開発、製品管理、研究、財務など、現実的な職務記述書が記載されており、正規の米国の求人情報を模倣しています。応募フローでは、氏名、メールアドレス、電話番号、現在の雇用主、所在地、LinkedIn URL、GitHubプロフィール、ポートフォリオリンクなど、包括的な個人情報が収集されます。「AIパワード自動入力」機能は、被害者に実際の履歴書(PDFまたはDOCX形式)のアップロードを促し、マルウェアの配信が失敗した場合でも、攻撃者が豊富なターゲットプロファイルを作成できるようにします。
悪意のある段階は「ビデオ自己紹介」の要件中に発生します。有効な招待コードでアクセスした場合、録画を試みると、ClickFix技術を用いた偽のエラーメッセージが表示されます。このページは、被害者のクリップボードを乗っ取り、コピーされたトラブルシューティングの指示を、悪意のある多段階のPowerShellコマンドに置き換えます。この悪意あるペイロードは、Microsoftグラフィックスドライバーのアップデートを装いながら、攻撃者のインフラからセカンダリアーカイブをダウンロードします。最終段階ではVBScriptローダーが実行され、永続化が確立され、追加のペイロードがダウンロードされる可能性があります。このクリップボード操作技術は、日常的なコピー&ペーストの行動を悪用するため、意図しない実行の可能性を大幅に高めます。
高価値な標的人材とその影響
AIおよび仮想通貨セクターの雇用主を詐称する選択は、北朝鮮の文書化された情報収集の優先事項を反映しています。これらの専門家は、北朝鮮の戦略的プログラムに直接関連する情報、仮想通貨アクセスを通じた即時の財政的有用性、そしてしばしば高い特権を持つ開発環境での作業を提供します。彼らのワークステーションには、独自のAI研究、モデルの重み、キー管理システム、またはスマートコントラクト監査情報が含まれている可能性があり、これらは北朝鮮の作戦上および財政上の目的に資する可能性があります。
セキュリティ専門家からのアドバイス
- すべてのキャリアページが公式のファーストパーティドメインから発信されていることを確認してください。
- 未検証のプラットフォームに機密文書をアップロードすることは避けてください。
- 未知のスクリプトは、隔離された仮想マシンまたはサンドボックスでのみ実行してください。
このキャンペーンの巧妙さは、北朝鮮のソーシャルエンジニアリング技術の顕著な成熟を示しており、技術系プロフェッショナルが求人市場を航海する上での警戒が不可欠です。