North Korean Hackers Launch New Wave of npm Package Attacks
2024/08/29 InfoSecurity — 北朝鮮に関連する脅威グループが関与する悪意のアクティビティが、最近になって急増していることがサイバー・セキュリティ研究者によって特定された。それにより明らかになったのは、npm エコシステムを標的とする組織的なキャンペーンの存在である。この、2024年8月12日に始まったキャンペーンは、開発者たちの環境に侵入して、機密データを盗むように設計された悪意の npm パッケージを公開するものである。
新たに発見されたパッケージの名称は、temp-etherscan-api/ethersscan-api/telegram-con などであり、リモート・サーバから追加のマルウェアをダウンロードするという、JavaScript などによる多段階化かつ難読化された 高度な戦術を示している。
悪意の npm パッケージ
8月29日付けで Phylum が公開したブログ投稿には、「このマルウェアには Python スクリプトと完全な Python インタープリターが含まれており、影響を受けるシステムで永続性を確立しながら、暗号通貨ウォレット・ブラウザー・エクステンションのデータを検索する。特に、qq-console パッケージは、北朝鮮から仕掛けられている “Contagious Interview” という、既知のキャンペーンと関連している。
2024年8月23日の時点で公開された、別のパッケージ helmet-validate も、研究者たちは特定している。このパッケージでは別の攻撃方法が採用されており、リモート・エンドポイント “ipcheck[.]cloud” から、悪意のコードを取得/実行する JavaScript コードが挿入されるという。このドメインは、”mirotalk[.]net” ドメインを悪用する偽の求人キャンペーンなどの、以前に用いられている北朝鮮のアクティビティにリンクしており、繰り返して用いられる戦術のパターンが浮き彫りにされる。
最新のパッケージである sass-notification は、2024 年8月27日に公開された “Moonstone Sleet” キャンペーンにリンクしている。このパッケージでは、リモート・ペイロードのダウンロード/復号化/実行のため、難読化された JavaScript が実行され、その後に悪意のアクティビティの痕跡が削除され、一見すると無害なソフトウェアが残される。
脅威アクターによる npm の悪用が増加
Phylum が警告するのは、開発者のシステムを侵害するために、脅威アクターが npm を悪用するケースが増えていることだ。
同社は、「これらの攻撃ベクターの多様性と、同時に展開されている規模から想定されるのは、北朝鮮と連携した脅威アクターによる、組織的かつ執拗な攻撃の増大である。これらの攻撃者は、npm エコシステムに対する固有の信頼を、継続的に悪用することで、開発者たち危険にさらしている。そして、企業ネットワークに侵入した後に、暗号通貨などの資産を盗み出し、不正な金銭的利益につなげる可能性を手にしている」と述べている。
npm などをパッケージに悪意を埋め込むという攻撃ベクターですが、これまでは、金銭的な目的を持つサイバー犯罪者との関連が疑われてきました。それが、北朝鮮に由来する脅威アクターに結び付けられるという、新たな展開へと至っているようです。また、北朝鮮に関連する脅威アクターは、APT でもあり、暗号資産スティーラーでもありという、二面性を持っているようなので、この先の展開が読みにくいという側面もあります。よろしければ、North Korea で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.