Lazarus APT targets crypto wallets using cross-platform JavaScript stealer
2025/02/06 SecurityAffairs — 北朝鮮に由来する Lazarus グループの新たなハッキング・キャンペーンにより、暗号通貨および旅行分野を標的とする偽の LinkedIn 求人情報が展開されていると、Bitdefender の研究者たちが報告している。
このキャンペーンでは、クロス・プラットフォームの JavaScript スティーラーが配信され、暗号通貨ウォレットが標的にされているとのことだ。
詳細が曖昧な求人情報を展開する詐欺師は、暗号通貨/旅行/金融などの偽プロジェクトで被害者を誘い込み、リモートワーク/柔軟性/高給を約束している。
この脅威アクターは、履歴書または GitHub リンクを要求することで個人データを収集し、プロジェクトが合法であるかように見せかけ、偽の採用プロセスで、さらに被害者を欺く。続いて、攻撃者は、悪意のコードを隠した偽プロジェクトを共有し、サードパーティ・ソースから有害なスクリプトをロードするデモを実行するよう、被害者に要求する。
Bitdefender が公開したレポートには、「被害者に要求した情報を受け取った後に、犯罪者が共有するのは、プロジェクトの MVP (minimum viable product) を取り込んだリポジトリである。また、デモを実行しなければ答えられない、質問が記載されたドキュメントも同梱されている。一見すると、コードは無害に見えるが、詳しく調べると、サードパーティのエンドポイントから悪意のコードを動的にロードする、高度に難読化されたスクリプトであることが分かる」と記されている。
最終的なペイロードは、Windows/MacOS/Linux をターゲットにする、クロス・プラットフォームの情報スティーラーである。この悪意のあるコードにより、攻撃者は暗号関連のブラウジング・エクステンションを検索し、人気の暗号通貨ウォレットをターゲットにしていく。
このマルウェアは、ブラウザー・データとログイン認証情報を盗み出し、キーロギング/クリップボード・コンテンツの変更を監視する。さらに展開するマルウェアとしては、システム偵察/暗号マイニングなどがあるが、Tor などの攻撃者が制御する IP を経由して、持続的な C2 通信を行う Python/.NET ベースのペイロードもあるという。
この悪意のコードは、追加のマルウェアを配信することもできる。
マルウェアと運用戦術の分析に基づき、このキャンペーンは、Lazarus APT グループによるものだと特定された。北朝鮮に由来する Lazarus は、以前にも、偽の求人広告を用いるキャンペーンに関与していたことが知られている。
Bitdefender のレポートは、「彼らの目的は個人情報の盗難に留まらない。航空/防衛/原子力などの分野で働く人々を危険にさらすことで、機密情報/独自技術/認証情報などを盗み出そうとしている。今回のケースでは、企業のデバイスでマルウェアを実行することで、攻撃者による企業の機密データへのアクセスを達成し、被害を拡大していく可能性がある」と結論づけている。
この記事では、悪意の求人広告について取り上げたが、同じ脅威アクターが身元を偽り、多数の職種に応募することで、さまざまな企業への侵入を試みたことも観察されている。その目的も、企業のスパイにより、個人情報/認証情報/技術情報の窃取となるだろう。
北朝鮮の Lazarus が、暗号通貨/旅行分野を標的とした、偽の LinkedIn 求人情報を展開しているとのことです。ご利用の方は、ご注意ください。Lazarus による暗号通貨窃取については、つい先日の 2025/01/30 にも、「北朝鮮 Lazarus の舞台裏:巧妙に隠されたインフラ Phantom Circuit が判明 – SecurityScorecard」という記事をポストしています。よろしければ、Lazarus で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.