北朝鮮のハッカーが悪意のあるnpmパッケージを通じてBeaverTailマルウェアを拡散

北朝鮮のハッカーによる新たな攻撃の波が表面化し、悪意のある npm パッケージを通じてソフトウェア開発コミュニティを標的にしています。進行中の Contagious Interview キャンペーンに関連するこれらのパッケージは、 BeaverTail マルウェアや、新たに発見されたリモート アクセス トロイの木馬 (RAT) ローダーを配信するように設計されています。このキャンペーンは、システムに侵入し、機密データを盗み、侵害されたデバイスへの長期的なアクセスを維持するための Lazarus Group による広範な取り組みの一部です。

検出を回避するために使われる難読化技術

Socket のセキュリティ研究者 Kirill Boychenko 氏によると、これらの最新のサンプルは難読化技術として 16 進文字列エンコーディングを採用しており、自動システムと手動コード監査の両方で検出が困難になっています。マルウェアの回避戦略のこの更新は、脅威アクターがセキュリティ対策を回避する方法が明らかに進化していることを示しています。

開発ツールを装った悪質なパッケージ

悪意のある npm パッケージは、削除されるまでに 5,600 回以上ダウンロードされました。危険なパッケージには、empty-array-validator、twitterapis、dev-debugger-vite、snore-log、core-pino、events-utils、icloud-cod、cln-logger、node-clog、consolidate-log、consolidate-logger などがありました。これらのパッケージは、正当なユーティリティやデバッガーを装うことを目的としていましたが、実際には悪意のあるペイロードを含んでいました。

偽の就職面接でデータを盗む

この暴露は、1 か月前に発生した同様の事件に続くもので、6 つの npm パッケージが BeaverTail を拡散しているのが発見されました。BeaverTail は、InvisibleFerret と呼ばれる Python ベースのバックドアも配信する JavaScript スティーラーです。これらの攻撃の最終的な目的は、就職面接のプロセスを装って開発者システムに侵入することです。侵入すると、マルウェアは機密情報を盗み、金融資産を吸い上げ、ハッカーが侵害されたシステムに永続的にアクセスできるようにします。

ラザラスグループとファントムサーキットキャンペーンへのリンク

注目すべきパッケージの 1 つである dev-debugger-vite は、2024 年 12 月に発生した Phantom Circuit というキャンペーンで、SecurityScorecard によって Lazarus Group と関連があると以前にフラグ付けされたコマンド アンド コントロール (C2) アドレスを使用していました。events-utils や icloud-cod などの他のパッケージは、以前のキャンペーンで見られた通常の GitHub ターゲットとは異なり、Bitbucket リポジトリにリンクされていることがわかりました。この変化と、icloud-cod パッケージ内で見つかった「eiwork_hire」ディレクトリは、攻撃者が引き続き就職面接関連の戦術を使用して感染を活性化していることを示しています。

感染成功率を最大化するための複数の変異体

cln-logger、node-clog、consolidate-log、consolidate-logger などの一部のパッケージを分析すると、コードに小さな違いがあることが判明しました。これらの変更は、脅威アクターが複数のマルウェア バリアントを展開することでキャンペーンの成功率を高めようとしていることを示唆しています。これらの違いにもかかわらず、これら 4 つのパッケージに埋め込まれたコードは、リモート サーバーから追加のペイロードを取得して実行できる RAT ローダーとして機能します。この段階では、研究者が調査したときに C2 エンドポイントがペイロードを提供していなかったため、ロードされているマルウェアの正確な性質は不明です。

RAT ローダーにより感染システムのリモート制御が可能に

Boychenko 氏は、この悪意のあるコードを RAT 機能を備えたアクティブ ローダーと表現し、eval() を使用してリモート JavaScript を取得して実行します。この方法により、攻撃者は任意の後続マルウェアを展開できるため、RAT ローダー自体が大きな脅威となります。

伝染性インタビューキャンペーンは衰える気配なし

これらの調査結果は、Contagious Interview キャンペーンの持続性を浮き彫りにしています。攻撃者は勢いを緩める気配がなく、新しい npm アカウントを作成し、npm、GitHub、Bitbucket などのさまざまなプラットフォームに悪意のあるコードを展開し続けています。また、攻撃者は戦術を多様化し、さまざまな別名で新しいマルウェアを公開し、さまざまなリポジトリを使用し、BeaverTail や InvisibleFerret などのよく知られたマルウェアの亜種と新しい RAT/ローダーの亜種を組み合わせて活用しています。

Tropidoor マルウェアが開発者を狙ったフィッシング攻撃で出現

一方、韓国のサイバーセキュリティ企業 AhnLab は最近、この攻撃の別の側面を明らかにしました。彼らは、BeaverTail を配信する採用をテーマにしたフィッシング攻撃を特定しました。この攻撃は、これまで文書化されていなかった Tropidoor と呼ばれる Windows バックドアを展開するために使用されます。Bitbucket でホストされている npm ライブラリを介して配信されるこのバックドアは、さまざまな悪意のあるアクションを実行できます。Tropidoor は、ファイルを盗み出し、ドライブやファイルに関する情報を収集し、プロセスを実行し、スクリーンショットをキャプチャし、さらにファイルを削除したり、NULL またはジャンク データで上書きしたりすることもできます。

高度な機能は既知のLazarusマルウェアとの関連を示唆

AhnLab の分析により、Tropidoor はダウンローダーを介してメモリ内で動作し、C2 サーバーに接続して指示を受け取ることが判明しました。このマルウェアは、schtasks、ping、reg などの Windows コマンドを直接使用しますが、これは LightlessCan など、他の Lazarus Group マルウェアでも確認されています。このつながりにより、現在の活動が、 高度なサイバースパイ戦術を使用することで悪名高い北朝鮮のグループとさらに結び付けられます。

開発者はサプライチェーン攻撃に対して警戒を怠らないよう呼びかけ

最新の暴露は、Lazarus Group やその他の APT 攻撃者がもたらす脅威が依然として続いていることを強調しています。開発者もユーザーも、不明または疑わしいソースからパッケージをダウンロードしたり、ファイルを開いたりする際には注意が必要です。これらの攻撃は進化し続けているため、フィッシング キャンペーンに対して警戒を怠らず、悪意のあるコードの依存関係を検査することが、機密情報が悪意のある者の手に渡らないようにするために重要です。