開発者が偽の就職面接でだまされてマルウェアをダウンロード

サイバーセキュリティ企業 Securonix は、偽の就職面接を口実に偽の npm パッケージを使用してソフトウェア開発者をターゲットにし、Python ベースのリモート アクセス トロイの木馬 (RAT) をダウンロードさせる新たな進行中のソーシャル エンジニアリング攻撃キャンペーンを発見しました。

観察された戦術に基づいて、「DEV#POPPER」の下での活動を追跡していた Securonix 脅威調査チームは、このキャンペーンを北朝鮮の脅威アクターと関連付けたとされています。

「これらの不正な面接では、開発者は、GitHub などの正当と思われるソースからソフトウェアをダウンロードして実行するタスクを実行するよう求められることがよくあります。このソフトウェアには悪意のある Node JS ペイロードが含まれており、実行されると開発者のシステムが侵害されます。」言ったセキュリティ研究者の Den Iuzvyk 氏、Tim Peck 氏、Oleg Kolesnikov 氏がブログ投稿で述べています。

ただし、脅威アクターの目的は、ターゲットをだましてシステム情報を収集し、ホストへのリモート アクセスを可能にする悪意のあるソフトウェアをダウンロードさせることです。

最初の段階では、ソフトウェア開発者のポジションを埋めるオファーを装った GitHub からの zip アーカイブが面接対象者 (この場合は開発者) に送信され、面接者 (攻撃者) がダウンロードできるようになります。アーカイブには、README.md とフロントエンド ディレクトリとバックエンド ディレクトリを含む、正当に見える Node Package Manager (NPM) パッケージが含まれています。

開発者が悪意のある NPM パッケージを実行すると、難読化された JavaScript ファイル (「imageDetails.js」) が、「curl」コマンドを使用して NodeJS プロセス (node.exe) を通じて実行されます。悪意のあるスクリプトの第 1 段階の目的は、単に外部サーバーから追加のアーカイブ (「p.zi」) をダウンロードすることです。

アーカイブ内には、次の段階のペイロード、RAT として機能する隠し Python ファイル (「.npl」) があります。オペレーティング システムの設定に応じて、この Python ファイルがユーザーに表示されない場合とされない場合があります。

RAT が被害者のシステムでアクティブになると、感染したコンピュータからシステム情報とネットワーク情報を収集し、OS タイプ、ホスト名、OS リリース バージョン、OS バージョン、ユーザー名などのデータをコマンド アンド コントロール (C2) サーバーに送信します。ログインしているユーザーの、MAC アドレスとユーザー名をハッシュすることによって生成されたデバイスの一意の識別子 (uuid)。

Securonix アナリストによると、RAT は次の機能をサポートしています。

  • ネットワークとセッションの作成は永続的な接続に使用されます。
  • ファイル システム機能は、ディレクトリを横断し、特定の拡張子と除外するディレクトリに基づいてファイルをフィルタリングし、特定のファイルやデータを検索して盗みます。
  • ファイルシステムの参照やシェルコマンドの実行など、システムシェルコマンドおよびスクリプトの実行を可能にするリモートコマンド実行。
  • ドキュメントやダウンロードなどのさまざまなユーザー ディレクトリから FTP データを直接抽出します。
  • クリップボードとキーストロークのログには、クリップボードの内容とキーストロークを監視および抽出する機能が含まれています。

「ソーシャル エンジニアリングを介して発生する攻撃に関しては、特に就職面接のような激しくストレスの多い状況では、セキュリティを重視した考え方を維持することが重要です」と研究者らは付け加えた。

「DEV#POPPER キャンペーンの背後にいる攻撃者は、相手が非常に注意散漫で、より脆弱な状態にあることを知りながら、これを悪用します。」

偽の求人情報は人々をマルウェアに感染させるための餌として利用されることが多いため、Securonix は人々に特に警戒を続けることを推奨しています。

ご存じない方のために、2023 年 11 月下旬にパロアルトネットワークスのユニット 42 の研究者が発見した北朝鮮国家支援の脅威アクターに関連した求職活動をターゲットにした 2 つの別々のキャンペーン。

最初のキャンペーン「伝染性面接」では、脅威アクターが雇用主を装い、さまざまな種類の窃盗の可能性を生み出す面接プロセスを通じてソフトウェア開発者を誘い込み、マルウェアをインストールさせました。

一方、2 番目のキャンペーン「Wagemole」は、米国および世界のその他の地域に拠点を置く組織への不正雇用を模索し、金銭的利益とスパイ行為の両方の可能性を秘めていました。